Настройка pfSense OpenVPN в Azure
У меня есть небольшая сеть в Azure, к которой мне нужно предоставить доступ. Поскольку большинство людей в моем офисе используют Macbook, шлюз Microsoft VPN не будет работать.
Чтобы включить VPN-соединение, я создал виртуальную машину, на которой запущен образ pfSense.
Я могу подключиться к веб-серверу, предоставляемому этой виртуальной машиной, и настроить сервер pfSense OpenVPN.
Однако я не могу подключиться к серверу OpenVPN, чтобы установить соединение. На экране «Открытое соединение VPN» я получаю следующее:
Wed Aug 31 15:49:00 2016 TCP: connect to [AF_INET]nnn.nnn.nnn.nnn:1194 failed, will try again in 5 seconds: Connection timed out (WSAETIMEDOUT)
У меня есть:
- Проверено, что nnn.nnn.nnn.nnn является общедоступным IP-адресом виртуальной машины pfSense
- SSH, подключенной к виртуальной машине и подтвержденной что он прослушивает порт 1194
КОМАНДА ПОЛЬЗОВАТЕЛЯ PID FD ПРОТО ЛОКАЛЬНЫЙ АДРЕС ИНОСТРАННЫЙ АДРЕС корень openvpn 3403 6 tcp4 *: 1194 *: * корень nginx 23708 6 tcp4 *: 443 *: * корень nginx 23708 8 tcp4 *: 80 *: * корень sshd 13231 5 tcp4 *: 22 *: * - Проверил группу безопасности сети для подсети виртуальной машины. Подтверждено, что он позволяет любому протоколу, любому источнику проходить через 1194
- . Проверена группа безопасности сети для сетевого интерфейса виртуальной машины. Подтверждено, что для него установлено значение «Нет»
- Подтверждено, что я могу локально подключиться к порту 1194
- Подтверждено, что я могу удаленно подключиться к порту 443 (помните, что я могу подключиться к веб-серверу виртуальной машины)
- Из Консоль AppServices (для которой настроено подключение к виртуальной сети), я могу подключиться к 80 и 443, но не к 1194 (тайм-аут подключения).
- Я не вижу никаких указаний в журналах pfSense, что была предпринята попытка подключения.
- Выполняется pfTop, когда SSH'd к виртуальной машине показывает попытки подключения для 80 и 443, но не для 1194.
Я считаю, что что-то в моей настройке виртуальной сети блокирует трафик на 1194, но я ' Я не знаю, где еще проверить.
Проблема заключалась в том, что фильтр пакетов на pfSense запрещал соединение. Одна вещь, о которой я забыл упомянуть, это то, что мы запускаем OpenVPN через TCP (чтобы отразить конфигурацию другого блока pfSense).
Когда вы настраиваете OpenVPN для подключения через TCP, он не обновляет правило брандмауэра pfSense который допускает трафик на 1194. Это правило установлено на UDP. Изменение правила, разрешающего TCP, устраняет проблему.
Полезная информация
Одна вещь, которая не очень очевидна из документации, заключается в том, что когда вы создаете окно pfsense из официального образа, он автоматически создает 'admin' пользователь. Этот пользователь будет настроен с тем же паролем / открытым ключом, который вы указали для пользователя при создании экземпляра.
С этой информацией,вы можете использовать ssh в коробке и получить красивое маленькое меню консоли, которое позволяет получить root-доступ.
С этой корневой консоли вы можете выключать и включать фильтр пакетов:
pfctl -d <disables>
pfctl -e <enables>
Временное отключение фильтра пакетов позволило мне исключить все, что связано с Azure, как источником моей проблемы.
Попробуйте подключиться к TCP 1194 локально. Этот тест позволит избежать влияния брандмауэра.
Если соединение не удастся, это говорит о том, что что-то не так на стороне сервера.
Если соединение успешно, я бы посоветовал вам сузить область действия этой проблемы. выполнить сетевой захват на сервере, чтобы проверить, достигло ли соединение от клиента сетевого адаптера сервера.
Если адаптер получает пакеты от клиента, это означает, что что-то на сервере блокирует соединение. Самая частая причина - неправильно настроенный брандмауэр. (Iptables)
Если адаптер не получает пакеты, вам следует дважды проверить NSG. Или попробуйте их воссоздать. Если проблема не устранена, и вы уверены в правилах для входящих подключений NSG. Затем вам может потребоваться открыть заявку в службу поддержки Azure, чтобы они могли выполнить захват сети на уровне хоста, чтобы узнать, что отбрасывает пакеты.