Не вижу подсеть клиента OpenVPN

pigbrother

@mrdick
Решал похожую задачу.

Вы хотите получить site-to-site, но, IMHO,
Но, судя по наличию <auth-user-pass>
username
password
</auth-user-pass>
Сервер поднят в режиме Remote Access?
Если так, придется в Advanced Configuration сервера добавить
route 192.168.11.0 255.255.255.0
и для клиента Кинетик прописать в Client Specific Overrides IPv4 Remote Networks (iroute)
192.168.11.0/24

Кинетик также подкладывает свинью для соединений site-to-site. Решал ее так:
https://forum.netgate.com/topic/160258/openvpn-keenetic-%D0%BD%D0%B5-%D0%B2%D0%B8%D0%B4%D0%BD%D0%BE-%D1%81%D0%B5%D1%82%D1%8C-%D0%B7%D0%B0-%D0%BA%D0%BB%D0%B8%D0%B5%D0%BD%D1%82%D0%BE%D0%BC/32

mrDick

@pigbrother
Да, сервер поднят в режиме "Удалённый Доступ (Аутентификация пользователя)"

В настройках сервера в "Особые параметры" добавил route 192.168.11.0 255.255.255.0
В "Специфические Настройки Клиента" создал правило "Удаленная IPv4 Сеть(ти)" 192.168.11.0/24

Действия через CLI на кинетеке сделал:
no ip nat Home
ip static Home CdcEthernet0
system configuration save

Про SRC не понял, что и куда нужно прописывать(

Пинга до сих пор нет...

pigbrother

@mrdick said in Не вижу подсеть клиента OpenVPN:

Действия через CLI на кинетеке сделал:
no ip nat Home
ip static Home CdcEthernet0
system configuration save

Интернет при этом есть?

@mrdick said in Не вижу подсеть клиента OpenVPN:

Про SRC не понял, что и куда нужно прописывать(

Межсетевой экран->ваш OVPN интерфейс
Получится что-то вида
Разрешить-- IP--192.168.10.0/24-- Любой

Маршрут в сеть 192.168.10.0/24 в "маршрутизации" в Кинетике виден"?
"Получать маршруты от удаленной стороны" в настройках клиента должно быть включено, "Использовать для выхода в интернет" выключено.

Ну и на клиентах за Кинетиком отключить для теста брандмауэр.

Да, забыл. Если на pFsense поднят мультиван, то может потребоваться неочевидное правило на LAN:
IPv4 * LAN net * 192.168.11.0/24 * * none

mrDick

@pigbrother

@pigbrother said in Не вижу подсеть клиента OpenVPN:

Интернет при этом есть?

Нет. Интернет пропал. Только сейчас заметил.

@pigbrother said in Не вижу подсеть клиента OpenVPN:

Разрешить-- IP--192.168.10.0/24-- Любой

Добавил

@pigbrother said in Не вижу подсеть клиента OpenVPN:

Маршрут в сеть 192.168.10.0/24 в "маршрутизации" в Кинетике виден"?

Есть:
Адрес назначения 8.8.8.8/32 - Шлюз 0.0.0.0
Адрес назначения 170.1.2.0/24 - Шлюз 0.0.0.0
Адрес назначения 192.168.10.0/24 - Шлюз 170.1.2.1
Адрес назначения 192.168.10.10/32 - Шлюз 0.0.0.0

@pigbrother said in Не вижу подсеть клиента OpenVPN:

Ну и на клиентах за Кинетиком отключить для теста брандмауэр.

Основная идея достучаться хотя бы до кинетика через 192.168.11.1

@pigbrother said in Не вижу подсеть клиента OpenVPN:

Да, забыл. Если на pFsense поднят мультиван, то может потребоваться неочевидное правило на LAN:
IPv4 * LAN net * 192.168.11.0/24 * * none

Добавил правило где
Источник LAN net
Назначение 192.168.11.0/24
Очередь Нет

pigbrother

@mrdick said in Не вижу подсеть клиента OpenVPN:

Нет. Интернет пропал. Только сейчас заметил.

А туннель поднимается?

@mrdick said in Не вижу подсеть клиента OpenVPN:

Адрес назначения 8.8.8.8/32 - Шлюз 0.0.0.0
Адрес назначения 170.1.2.0/24 - Шлюз 0.0.0.0
Адрес назначения 192.168.10.0/24 - Шлюз 170.1.2.1
Адрес назначения 192.168.10.10/32 - Шлюз 0.0.0.0

Это статические маршруты заданные вручную?

если так
Адрес назначения 192.168.10.10/32 - Шлюз 0.0.0.0
неверный.

И вообще для OVPN не нужно в Кинетике задавать маршрут. Он должен появляться автоматически, если установлено "Получать маршруты от удаленной стороны"

mrDick

@pigbrother said in Не вижу подсеть клиента OpenVPN:

@mrdick said in Не вижу подсеть клиента OpenVPN:

Нет. Интернет пропал. Только сейчас заметил.

А туннель поднимается?

Ага. Но из локальной сети pfsense пинга так и нет.

pigbrother

@mrdick Дополнил пост выше.

mrDick

@pigbrother said in Не вижу подсеть клиента OpenVPN:

Это статические маршруты заданные вручную?

Нет. Поднимаются автоматически при включении туннеля.
Статических маршрутов нет вообще.

mrDick

Пинг из локальной сети pfsense идёт до ip который openvpn выдаёт кинетику.
В моём случае 170.1.2.2.

pigbrother

@mrdick said in Не вижу подсеть клиента OpenVPN:

Ага

Вероятно
ip static Home CdcEthernet0
где-то ошибка

КинетиОС какой версии?

mrDick

@pigbrother said in Не вижу подсеть клиента OpenVPN:

ip static Home CdcEthernet0
где-то ошибка

Это интерфейс USB модема, подключенного к кинетику.

@pigbrother said in Не вижу подсеть клиента OpenVPN:

КинетиОС какой версии?

3.7.4

pigbrother

@mrdick said in Не вижу подсеть клиента OpenVPN:

170.1.2.2.

Это же не "серый" адрес!
диапазон: 170.1.0.0 - 170.1.255.255
принадлежит
Columbia Health Care

И уходит в интернет:
Адрес назначения 170.1.2.0/24 - Шлюз 0.0.0.0

mrDick

@pigbrother said in Не вижу подсеть клиента OpenVPN:

@mrdick said in Не вижу подсеть клиента OpenVPN:

170.1.2.2.

Это же не "серый" адрес!
диапазон: 170.1.0.0 - 170.1.255.255
принадлежит
Columbia Health Care

Это IPv4 Сеть Туннеля

pigbrother

@mrdick said in Не вижу подсеть клиента OpenVPN:

Это IPv4 Сеть Туннеля

И она не должна использовать"белые адреса"

mrDick

@pigbrother said in Не вижу подсеть клиента OpenVPN:

И она не должна использовать"белые адреса"

Поменял на 10.0.8.0/24
Пинга так и нет(

mrDick

В маршрутизации на кинетике всё по старому

pigbrother

@mrdick said in Не вижу подсеть клиента OpenVPN:

Это интерфейс USB модема, подключенного к кинетику.

Это я вижу. Непонятно, почему
ip static Home CdcEthernet0
не дает доступа в интернет.

@mrdick Я поделился всем, чем мог. У меня на 2-х площадках такое работает.

Можно, конечно, перевести\создать сервер "правильно" - Peer to Peer, но дело, имхо, не в этом.

P.S. покажите что в Client Specific Overrides

mrDick

@pigbrother said in Не вижу подсеть клиента OpenVPN:

P.S. покажите что в Client Specific Overrides

pigbrother

@mrdick В Common Name и выборе сервера не ошиблись?

mrDick

@pigbrother
Братишка ТЫ ГЕНИЙ!!!!!!!!!