OpenVPN + Keenetic не видно сеть за клиентом

werter

Tracert с клиента PFSense затыкается на первом же шаге после шлюза.

ПОКАЖИТЕ листинг.

Mahad

PF+Float.jpg

Вот листинг

1  * * *
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *

werter

@mahad

В листинге ничего кроме "звездочек" ( Или это только у меня ?
Во флоатинг 1-е СНИЗУ - откл. НЕ ТРОГАЙТЕ флоатинг вообще.
В ЛАНе 2-е СВЕРХУ - неправильно.

Mahad

@werter
Спасибо большое за помощь!
Наслаждаюсь результатом.

Для тех, кто столкнётся с подобной проблемой - надо прописывать Outbound NAT с локальной сети на удалённую на интерфейсе OpenVPN.

werter

@mahad
Пожалуйста )

Для тех кто столкнется.
Есть пф и Zyxel Keenetic. Задача связать их по openvpn. Связали по паролю.
Все маршруты есть как на пф так и на кинетике. В правилах разрешено всё всем на обеих сторонах.
Трафик из сети за кинетиком в сеть за пф бегает, наоборот - нет. Со стороны пф доходит только до зюхеля. Причем ЛОКАЛЬНЫЙ адрес (не впн-адрес) зюхеля из сети пф доступен.

Решение:
На пф NAT переключили в режим Hybrid и добавили правило src - локальная сеть, dst - сеть зюхеля, nat - interface address.
Из минусов, все пакеты из сети за пф будут иметь на зюхеле один и тот же ip-адрес - адрес конца впн-туннеля пф-а.

Прим. Для связи двух пф ТАКОГО "финта" не требуется.

Зы. Просьба выложить скрин NAT -> Outbound для наглядности.

pigbrother

@werter Особенности Zyxel, наверное.
Настраивал site-to-site на Asus с Merlin, на Padavan - нигде с NAT Outbound ничего делать не надо было.
Asus с Merlin кстати, подключал к серверу pf в режиме Remote Access, нужно в Advanced Configuration добавить route в удаленную сеть ( в режиме Remote Access нет поля IPv4 Remote network)

werter

@pigbrother
Спасибо за отклик.

Посмотрите еще на FreshTomato https://wiki.freshtomato.org/doku.php/hardware_compatibility
Это дальнейшее развитие TomatoUSB.

pigbrother

@werter said in OpenVPN + Keenetic не видно сеть за клиентом:

Это дальнейшее развитие TomatoUSB.

Рад, что проект жив.
Жаль, но устройства с её поддержкой как-то всегда проходили мимо.
Нравится Padavan. Просто, логично. Приведу пример настроек клиента. TCP выбран умышленно, провайдер любит воевать с UDP в мобильном интернете. (Он умеет быть и Open VPN сервером, настроил дома и сервер).

pigbrother

@werter said in OpenVPN + Keenetic не видно сеть за клиентом:

Решение:
На пф NAT переключили в режим Hybrid и добавили правило src - локальная сеть, dst - сеть зюхеля, nat - interface address.

Некропост, но все же. Site-to-site Keentic<->pfSense.
На стороне pfSense (сервер) все стандартно.
В Outbound NAT ничего не добавляется.
На стороне Keentic (клиент) на интерфейсе Open VPN добавляется разрешающее правило с SRC=сеть\сети за pfSense.
Ну и не забываем про firewall на машинах за Кинетиком.

pigbrother

@pigbrother said in OpenVPN + Keenetic не видно сеть за клиентом:

Некропост, но все же

Пробую связать site-to-site Keenetic и чужой PF.
Интересный момент - Keenetic не оправляет в туннель IP хостов, в удаленной сети за PF доступен только LAN IP самого PF.
Если на Keenetic отключить NAT, сети начинают друг друга видеть, но тогда, что естественно, с ПК за Кинетик теряется доступ в интернет.

werter

@pigbrother
Версия ПО на кинетике самая свежая? Выше вариант не подходит?

pigbrother

@werter said in OpenVPN + Keenetic не видно сеть за клиентом:

Выше вариант не подходит?

Вроде решил вопрос. Проблема в том, что КинетикОС включает NAT для всех(?) исходящих интерфейсов, по крайней мере для OpenVPN - точно.
Лечение, CLI:
1.no ip nat Home - отключает NAT глобально (?)
2.ip static Home GigabitEthernet1 - Включает NAT на нужном интерфейсе. GigabitEthernet1 - мой интерфейс, смотрящий в интернет. Посмотреть название нужного интерфейса можно в CLI - show interface
3. Если все заработало - system configuration save для сохранения настроек после ребута.
Ну и , как писал выше, на стороне Keentic (клиент) на интерфейсе Open VPN добавляется разрешающее правило с SRC=сеть\сети за pfSense.

За подсказку спасибо пользователю Le ecureuil с форума Кинетик. Сам бы я (да и, наверное, не только я) вряд ли бы догадался, что ip static - это включение NAT ))

werter

@pigbrother
Спасибо )