The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Как добиться, что бы NAT не изменял номер порта для OpenVPN"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Открытые системы на сервере (VPN / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"Как добиться, что бы NAT не изменял номер порта для OpenVPN"  +/
Сообщение от UltraLaser email(ok) on 27-Мрт-10, 21:21 
Посоветуйте плиз такой вопрос – есть у меня OpenVPN подключение  - сервер которого принимает подключение по порту 1194. Если клиент (конфиг ниже) соединен через адсл модем или подключен просто тупо напрямую на внешнем адресе (просто вечерком выдергиваем входящий кабель из файрвола и вставляем напрямую в ноут с опенвпн клиентом :) то все работает без проблем. На файровле стороны сервера прописано что принимать udp пакеты на порт 1194. Оно вроде логично.
НО как только я запускаю OpenVPN клиента за NAT (а так оно и должно работать в моей конфигурации сети) то исходящий порт 1194 меняется на случайный порт (скажем 55366) и понятное дело входящий файрволл сервера такое дело отбрасывает.
Вопрос – как сделать, так что бы номер порта был неизменен. NAT у меня сделан на файрволе pf таком вот правилом

nat on $ext_if from !$ext_if to any -> ($ext_if)

что бы выйти из положения я сказал серверу слушать udp соединения на портах от 1 до 65535 и все заработало … но как вы сами понимаете это решение немного не изящно и не совсем безопасно.
Вопрос – как сделать так, что бы номер порта не изменялся при прохождении через нат.
Буду очень признателен за ответ.

Конфигурация - классика жанра  - связать два офиса посредством OpenVPN (2.1.1).
На стороне сервера машина под Выньдаполжь 2003 R2 с ISA server 2006 на борту. Ключи сформированы на нем. За ним сетка 192.168.77.0/24 . С него должны видеть сетку за OpenVPN клиентом 192.168.99.0/24 Конфиг егонный

#Main settings
server 10.8.0.0 255.255.255.0
dev tun
proto udp
port 1194
comp-lzo
verb 3
persist-key
persist-tun
keepalive 10 120
max-clients 100
client-to-client


#Keys
ca ..\\easy-rsa\\keys\\alpha_v01\\ca.crt
cert ..\\easy-rsa\\keys\\alpha_v01\\server.crt
key ..\\easy-rsa\\keys\\alpha_v01\\server.key
dh ..\\easy-rsa\\keys\\alpha_v01\\dh1024.pem


# If a tls-auth key is used on the server
# then every client must also have the key.
tls-server
tls-auth ..\\easy-rsa\\keys\\alpha_v01\\ta.key 0
tls-timeout 120


#Routing
push "route 192.168.77.0 255.255.255.0"
client-config-dir ccd
route 10.8.0.0 255.255.255.0
route 192.168.99.0 255.255.255.0

#Cipher
cipher BF-CBC
auth MD5

в директории ccd находится файлик mainoffice
iroute 192.168.99.0 255.255.255.0
ifconfig-push 10.8.0.2 10.8.0.1

клиент

client
dev tun
proto udp
remote rrr.rrr.rrr.rrr (буковочки rrr заменяют реальный адрес)  
port 1194
local 10.0.0.8
resolv-retry infinite
persist-key
persist-tun

ca ..\\easy-rsa\\keys\\alpha_v01\\ca.crt
cert ..\\easy-rsa\\keys\\alpha_v01\\mainoffice.crt
key ..\\easy-rsa\\keys\\alpha_v01\\mainoffice.key

tls-client
tls-auth ..\\easy-rsa\\keys\\alpha_v01\\ta.key 1

ns-cert-type server
cipher BF-CBC
auth MD5
comp-lzo
verb 3

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Как добиться, что бы NAT не изменял номер порта для OpenVPN"  +/
Сообщение от ALex_hha (ok) on 27-Мрт-10, 22:32 
Ничего не понятно. А при чем тут исходящий порт клиента? Если он все равно подключается на порт 1194.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Как добиться, что бы NAT не изменял номер порта для OpenVPN"  +/
Сообщение от UltraLaser email(ok) on 28-Мрт-10, 00:57 

Спасибо - разобрался. Я ошибочно определил на файрволе стороны сервера (ИСА 2006) пользовательский протокол который отсекает всех клиентов у которых порт адерса источника не равен 1194.. Убрал и все заработало.  


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру