Посоветуйте плиз такой вопрос – есть у меня OpenVPN подключение - сервер которого принимает подключение по порту 1194. Если клиент (конфиг ниже) соединен через адсл модем или подключен просто тупо напрямую на внешнем адресе (просто вечерком выдергиваем входящий кабель из файрвола и вставляем напрямую в ноут с опенвпн клиентом :) то все работает без проблем. На файровле стороны сервера прописано что принимать udp пакеты на порт 1194. Оно вроде логично.
НО как только я запускаю OpenVPN клиента за NAT (а так оно и должно работать в моей конфигурации сети) то исходящий порт 1194 меняется на случайный порт (скажем 55366) и понятное дело входящий файрволл сервера такое дело отбрасывает.
Вопрос – как сделать, так что бы номер порта был неизменен. NAT у меня сделан на файрволе pf таком вот правилом nat on $ext_if from !$ext_if to any -> ($ext_if)
что бы выйти из положения я сказал серверу слушать udp соединения на портах от 1 до 65535 и все заработало … но как вы сами понимаете это решение немного не изящно и не совсем безопасно.
Вопрос – как сделать так, что бы номер порта не изменялся при прохождении через нат.
Буду очень признателен за ответ.
Конфигурация - классика жанра - связать два офиса посредством OpenVPN (2.1.1).
На стороне сервера машина под Выньдаполжь 2003 R2 с ISA server 2006 на борту. Ключи сформированы на нем. За ним сетка 192.168.77.0/24 . С него должны видеть сетку за OpenVPN клиентом 192.168.99.0/24 Конфиг егонный
#Main settings
server 10.8.0.0 255.255.255.0
dev tun
proto udp
port 1194
comp-lzo
verb 3
persist-key
persist-tun
keepalive 10 120
max-clients 100
client-to-client
#Keys
ca ..\\easy-rsa\\keys\\alpha_v01\\ca.crt
cert ..\\easy-rsa\\keys\\alpha_v01\\server.crt
key ..\\easy-rsa\\keys\\alpha_v01\\server.key
dh ..\\easy-rsa\\keys\\alpha_v01\\dh1024.pem
# If a tls-auth key is used on the server
# then every client must also have the key.
tls-server
tls-auth ..\\easy-rsa\\keys\\alpha_v01\\ta.key 0
tls-timeout 120
#Routing
push "route 192.168.77.0 255.255.255.0"
client-config-dir ccd
route 10.8.0.0 255.255.255.0
route 192.168.99.0 255.255.255.0
#Cipher
cipher BF-CBC
auth MD5
в директории ccd находится файлик mainoffice
iroute 192.168.99.0 255.255.255.0
ifconfig-push 10.8.0.2 10.8.0.1
клиент
client
dev tun
proto udp
remote rrr.rrr.rrr.rrr (буковочки rrr заменяют реальный адрес)
port 1194
local 10.0.0.8
resolv-retry infinite
persist-key
persist-tun
ca ..\\easy-rsa\\keys\\alpha_v01\\ca.crt
cert ..\\easy-rsa\\keys\\alpha_v01\\mainoffice.crt
key ..\\easy-rsa\\keys\\alpha_v01\\mainoffice.key
tls-client
tls-auth ..\\easy-rsa\\keys\\alpha_v01\\ta.key 1
ns-cert-type server
cipher BF-CBC
auth MD5
comp-lzo
verb 3
Вариант для распечатки
Открытые системы на сервере (VPN / FreeBSD)
(ok) on 27-Мрт-10, 21:21 
