Не вижу подсеть клиента OpenVPN
-
Всем привет!
Имеется два офиса.
- Головной офис с pfSense, на котором настроена основная локальная сеть.
- Дочерний офис, в котором стоит Keenetic Extra.
На pfSense настроен сервер OpenVPN. На Keenetic`е настроен клиент, соответственно.
Локальная сеть pfSense 192.168.10.0
Локальная сеть Keenetic 192.168.11.0С хостов, которые подключены к Keenetic (client) видна локальная сеть pfSense (server) и все сетевые ресурсы локальной сети головного офиса.
С хостов головного не видно локальную сеть Keenetic`а.Прикрепляю конфиги:
pfSense (Server)
dev ovpns2
verb 1
dev-type tun
dev-node /dev/tun2
writepid /var/run/openvpn_server2.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp4
auth SHA256
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
client-connect /usr/local/sbin/openvpn.attributes.sh
client-disconnect /usr/local/sbin/openvpn.attributes.sh
local внешний_ip
tls-server
server 170.1.2.0 255.255.255.0
client-config-dir /var/etc/openvpn/server2/csc
verify-client-cert none
username-as-common-name
plugin /usr/local/lib/openvpn/plugins/openvpn-plugin-auth-script.so /usr/local/sbin/ovpn_auth_verify_async user xXxxXXxxxXxxXxxxXxxxxXxXxXXX false server2 1195
lport 1195
management /var/etc/openvpn/server2/sock unix
push "route 192.168.10.0 255.255.255.0"
push "dhcp-option DOMAIN mydomain.local"
push "dhcp-option DNS 192.168.10.10"
push "dhcp-option DNS 8.8.8.8"
client-to-client
duplicate-cn
capath /var/etc/openvpn/server2/ca
cert /var/etc/openvpn/server2/cert
key /var/etc/openvpn/server2/key
dh /etc/dh-parameters.1024
tls-auth /var/etc/openvpn/server2/tls-auth 0
ncp-disable
cipher AES-256-CBC
allow-compression no
persist-remote-ip
float
topology subnetKeenetic (client)
dev tun_client
persist-tun
persist-key
ncp-disable
cipher AES-256-CBC
auth SHA256
tls-client
client
verb 4
resolv-retry infinite
remote dns_имя 1195 udp4
nobind
remote-cert-tls server
explicit-exit-notify
<ca>
</ca>
key-direction 1
<tls-auth>
</tls-auth><auth-user-pass>
username
password
</auth-user-pass>Надеюсь всё понятно объяснил и дал достаточно информации!
В данном направлении новичок. Хотелось бы получить помощь. -
@mrdick
Решал похожую задачу.Вы хотите получить site-to-site, но, IMHO,
Но, судя по наличию <auth-user-pass>
username
password
</auth-user-pass>
Сервер поднят в режиме Remote Access?
Если так, придется в Advanced Configuration сервера добавить
route 192.168.11.0 255.255.255.0
и для клиента Кинетик прописать в Client Specific Overrides IPv4 Remote Networks (iroute)
192.168.11.0/24Кинетик также подкладывает свинью для соединений site-to-site. Решал ее так:
https://forum.netgate.com/topic/160258/openvpn-keenetic-%D0%BD%D0%B5-%D0%B2%D0%B8%D0%B4%D0%BD%D0%BE-%D1%81%D0%B5%D1%82%D1%8C-%D0%B7%D0%B0-%D0%BA%D0%BB%D0%B8%D0%B5%D0%BD%D1%82%D0%BE%D0%BC/32 -
@pigbrother
Да, сервер поднят в режиме "Удалённый Доступ (Аутентификация пользователя)"В настройках сервера в "Особые параметры" добавил route 192.168.11.0 255.255.255.0
В "Специфические Настройки Клиента" создал правило "Удаленная IPv4 Сеть(ти)" 192.168.11.0/24Действия через CLI на кинетеке сделал:
no ip nat Home
ip static Home CdcEthernet0
system configuration saveПро SRC не понял, что и куда нужно прописывать(
Пинга до сих пор нет...
-
@mrdick said in Не вижу подсеть клиента OpenVPN:
Действия через CLI на кинетеке сделал:
no ip nat Home
ip static Home CdcEthernet0
system configuration saveИнтернет при этом есть?
@mrdick said in Не вижу подсеть клиента OpenVPN:
Про SRC не понял, что и куда нужно прописывать(
Межсетевой экран->ваш OVPN интерфейс
Получится что-то вида
Разрешить-- IP--192.168.10.0/24-- ЛюбойМаршрут в сеть 192.168.10.0/24 в "маршрутизации" в Кинетике виден"?
"Получать маршруты от удаленной стороны" в настройках клиента должно быть включено, "Использовать для выхода в интернет" выключено.Ну и на клиентах за Кинетиком отключить для теста брандмауэр.
Да, забыл. Если на pFsense поднят мультиван, то может потребоваться неочевидное правило на LAN:
IPv4 * LAN net * 192.168.11.0/24 * * none -
@pigbrother said in Не вижу подсеть клиента OpenVPN:
Интернет при этом есть?
Нет. Интернет пропал. Только сейчас заметил.
@pigbrother said in Не вижу подсеть клиента OpenVPN:
Разрешить-- IP--192.168.10.0/24-- Любой
Добавил
@pigbrother said in Не вижу подсеть клиента OpenVPN:
Маршрут в сеть 192.168.10.0/24 в "маршрутизации" в Кинетике виден"?
Есть:
Адрес назначения 8.8.8.8/32 - Шлюз 0.0.0.0
Адрес назначения 170.1.2.0/24 - Шлюз 0.0.0.0
Адрес назначения 192.168.10.0/24 - Шлюз 170.1.2.1
Адрес назначения 192.168.10.10/32 - Шлюз 0.0.0.0@pigbrother said in Не вижу подсеть клиента OpenVPN:
Ну и на клиентах за Кинетиком отключить для теста брандмауэр.
Основная идея достучаться хотя бы до кинетика через 192.168.11.1
@pigbrother said in Не вижу подсеть клиента OpenVPN:
Да, забыл. Если на pFsense поднят мультиван, то может потребоваться неочевидное правило на LAN:
IPv4 * LAN net * 192.168.11.0/24 * * noneДобавил правило где
Источник LAN net
Назначение 192.168.11.0/24
Очередь Нет -
@mrdick said in Не вижу подсеть клиента OpenVPN:
Нет. Интернет пропал. Только сейчас заметил.
А туннель поднимается?
@mrdick said in Не вижу подсеть клиента OpenVPN:
Адрес назначения 8.8.8.8/32 - Шлюз 0.0.0.0
Адрес назначения 170.1.2.0/24 - Шлюз 0.0.0.0
Адрес назначения 192.168.10.0/24 - Шлюз 170.1.2.1
Адрес назначения 192.168.10.10/32 - Шлюз 0.0.0.0Это статические маршруты заданные вручную?
если так
Адрес назначения 192.168.10.10/32 - Шлюз 0.0.0.0
неверный.И вообще для OVPN не нужно в Кинетике задавать маршрут. Он должен появляться автоматически, если установлено "Получать маршруты от удаленной стороны"
-
@pigbrother said in Не вижу подсеть клиента OpenVPN:
@mrdick said in Не вижу подсеть клиента OpenVPN:
Нет. Интернет пропал. Только сейчас заметил.
А туннель поднимается?
Ага. Но из локальной сети pfsense пинга так и нет.
-
@mrdick Дополнил пост выше.
-
@pigbrother said in Не вижу подсеть клиента OpenVPN:
Это статические маршруты заданные вручную?
Нет. Поднимаются автоматически при включении туннеля.
Статических маршрутов нет вообще. -
Пинг из локальной сети pfsense идёт до ip который openvpn выдаёт кинетику.
В моём случае 170.1.2.2. -
@mrdick said in Не вижу подсеть клиента OpenVPN:
Ага
Вероятно
ip static Home CdcEthernet0
где-то ошибкаКинетиОС какой версии?
-
@pigbrother said in Не вижу подсеть клиента OpenVPN:
ip static Home CdcEthernet0
где-то ошибкаЭто интерфейс USB модема, подключенного к кинетику.
@pigbrother said in Не вижу подсеть клиента OpenVPN:
КинетиОС какой версии?
3.7.4
-
@mrdick said in Не вижу подсеть клиента OpenVPN:
170.1.2.2.
Это же не "серый" адрес!
диапазон: 170.1.0.0 - 170.1.255.255
принадлежит
Columbia Health CareИ уходит в интернет:
Адрес назначения 170.1.2.0/24 - Шлюз 0.0.0.0 -
@pigbrother said in Не вижу подсеть клиента OpenVPN:
@mrdick said in Не вижу подсеть клиента OpenVPN:
170.1.2.2.
Это же не "серый" адрес!
диапазон: 170.1.0.0 - 170.1.255.255
принадлежит
Columbia Health CareЭто IPv4 Сеть Туннеля
-
@mrdick said in Не вижу подсеть клиента OpenVPN:
Это IPv4 Сеть Туннеля
И она не должна использовать"белые адреса"
-
@pigbrother said in Не вижу подсеть клиента OpenVPN:
И она не должна использовать"белые адреса"
Поменял на 10.0.8.0/24
Пинга так и нет( -
В маршрутизации на кинетике всё по старому
-
@mrdick said in Не вижу подсеть клиента OpenVPN:
Это интерфейс USB модема, подключенного к кинетику.
Это я вижу. Непонятно, почему
ip static Home CdcEthernet0
не дает доступа в интернет.@mrdick Я поделился всем, чем мог. У меня на 2-х площадках такое работает.
Можно, конечно, перевести\создать сервер "правильно" - Peer to Peer, но дело, имхо, не в этом.
P.S. покажите что в Client Specific Overrides
-
@pigbrother said in Не вижу подсеть клиента OpenVPN:
P.S. покажите что в Client Specific Overrides
-
@mrdick В Common Name и выборе сервера не ошиблись?