Openvpn on pfSense Routing Internet Traffic Through A Site-To-Site OpenVPN Tunnel
Posted: 13 Jun 2023, 15:29
CONCETTI/PASSAGGI CHIAVE:
1) Capire il tipo di tunnel in questione: Client-Server? oppure Server-Server? Peer to peer o remote access?
Qui si parla di site-to-site, quindi peer to peer
REF: OpenVPN Site-to-Site Configuration Example with SSL/TLS
N.B. Shared key mode has been deprecated by OpenVPN as it is no longer considered sufficiently secure for modern requirements.
2) Inserire lato server il comando "push route" nel campo "Custom options" della configurazione del tunnel:
REF: Custom Configuration Options - Routing Options
es:
3) Inserire lato client il comando "route" nel campo "Custom options" della configurazione del tunnel:
es:
Si noti che la keyword "vpn_gateway" è un alias che dice al sistema di usare the remote VPN endpoint address come gateway.
(*) Nell'esempio si noti anche il comando "remote", utile per dare al client altri IP da tentare se il server dispone di più WAN
4) Controllare le firewall rules, sia su server che su client, che permettano il traffico dal client al server come da attese
5) Configurare lato server l'Outbound NAT
Senza questa configurazione il client non riceverebbe mai la risposta.
REF: Routing Internet Traffic Through A Site-To-Site OpenVPN Tunnel
1) Capire il tipo di tunnel in questione: Client-Server? oppure Server-Server? Peer to peer o remote access?
Qui si parla di site-to-site, quindi peer to peer
REF: OpenVPN Site-to-Site Configuration Example with SSL/TLS
N.B. Shared key mode has been deprecated by OpenVPN as it is no longer considered sufficiently secure for modern requirements.
2) Inserire lato server il comando "push route" nel campo "Custom options" della configurazione del tunnel:
REF: Custom Configuration Options - Routing Options
es:
Code: Select all
push "route 10.66.0.0 255.255.255.0";
push "route 10.95.0.0 255.255.255.0"
es:
Code: Select all
route 10.66.0.0 255.255.255.255 vpn_gateway;
route 10.95.0.0 255.255.255.255 vpn_gateway;
remote wan2.myserver.woah 1195 udp4
(*) Nell'esempio si noti anche il comando "remote", utile per dare al client altri IP da tentare se il server dispone di più WAN
4) Controllare le firewall rules, sia su server che su client, che permettano il traffico dal client al server come da attese
5) Configurare lato server l'Outbound NAT
Senza questa configurazione il client non riceverebbe mai la risposta.
REF: Routing Internet Traffic Through A Site-To-Site OpenVPN Tunnel