Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OpenVPN между PFSence и Keenetic

    Scheduled Pinned Locked Moved Russian
    7 Posts 2 Posters 869 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      CrazyMax
      last edited by

      День добрый.
      Нужна помощь зала.
      Есть PFSence, на нем поднят OpenVPN сервер.
      Есть Keenetic, на нем клиент.
      Связь поднимается, но проблема в том что хосты со стороны PFSence не видят хостов со стороны Keenetic.
      В обратную стороны все прекрасно видится. Грубо говоря, если смотреть по рисунку, то комп 10.10.100.1 не видит камеру 192.168.12.2, при этом комп 192.168.12.3 прекрасно видит комп 10.10.100.1

      Screenshot 2023-07-27 150109.jpg

      В нете находил подобные проблемы, но так ничего не и не получается.
      КМК, возможно, проблема в маршрутах.
      При поднятом VPN в маршрутах на PFSence запись есть

      Screenshot 2023-07-27 145438.jpg

      А вот tracert-ы с хоста 10.10.100.1 выдают вот такие картинки

      Screenshot 2023-07-27 145814.jpg
      Screenshot 2023-07-27 150616.jpg

      Почему трасерт на 192.168.12.2 не идет? Куда рыть?
      Проблема не в правилах, мне кажется, ибо трасерт и пинг на 192.168.239.2 идет
      Если надо какие-то скрины настроек - скажите, я скину. Просто настройки одного только ВПНа это такая портянище...

      Заранее спасибо.

      P 1 Reply Last reply Reply Quote 0
      • P
        pigbrother @CrazyMax
        last edited by

        @CrazyMax said in OpenVPN между PFSence и Keenetic:

        хосты со стороны PFSence не видят хостов со стороны Keenetic

        Есть ли на Кинетике разрешающее правило на интерфейсе Open VPN для сети 10.0.0.0/8?

        C 1 Reply Last reply Reply Quote 0
        • C
          CrazyMax @pigbrother
          last edited by

          @pigbrother
          Есть.
          732f5f7e-ec8d-4ceb-a9d7-152d03011ab1-image.png

          Но как я писал меня смущает именно вот такой момент. Если я правильно понимаю, то трасерт на 192.168.12.2 должен выглядеть так:
          10.0.0.1
          192.168.239.2
          192.168.12.2
          Или это не точно?

          Просто если это так, то затык однозначно в PFSence, потому что 192.168.239.2 видится.
          Если прыжок должен быть с 10.0.0.1 сразу на 192.168.12.2 ну тогда, возможны варианты :(

          P 1 Reply Last reply Reply Quote 0
          • P
            pigbrother @CrazyMax
            last edited by pigbrother

            @CrazyMax
            Когда-то решал подобный вопрос так:

            Вроде решил вопрос. Проблема в том, что КинетикОС включает NAT для всех(?) исходящих интерфейсов, по крайней мере для OpenVPN - точно.
            Лечение, CLI:
            1.no ip nat Home - отключает NAT глобально (?)
            2.ip static Home GigabitEthernet1 - Включает NAT на нужном интерфейсе. GigabitEthernet1 - мой интерфейс, смотрящий в интернет. Посмотреть название нужного интерфейса можно в CLI - show interface
            3. Если все заработало - system configuration save для сохранения настроек после ребута.
            Ну и , как писал выше, на стороне Keentic (клиент) на интерфейсе Open VPN добавляется разрешающее правило с SRC=сеть\сети за pfSense.

            За подсказку спасибо пользователю Le ecureuil с форума Кинетик. Сам бы я (да и, наверное, не только я) вряд ли бы догадался, что ip static - это включение NAT ))

            https://forum.netgate.com/topic/160258/openvpn-keenetic-%D0%BD%D0%B5-%D0%B2%D0%B8%D0%B4%D0%BD%D0%BE-%D1%81%D0%B5%D1%82%D1%8C-%D0%B7%D0%B0-%D0%BA%D0%BB%D0%B8%D0%B5%D0%BD%D1%82%D0%BE%D0%BC/31?_=1690463555006

            C 1 Reply Last reply Reply Quote 1
            • C
              CrazyMax @pigbrother
              last edited by

              @pigbrother
              Спасибо за помощь.
              В принципе вопрос я решил чуть не так как хотел.
              Мне нужны были только камеры за Кинетиком, что бы привязать их к регику в офисе. И поскольку интерфейс 192.168.239.2 из ПФСенса виден, то на Кинетике просто сделал проброс портов.
              Но для спортивного интереса сделал во вашему рецепту, но 192.168.12.0 из ПФСенса так и не видна.

              И вот эта строка что значит

              Ну и , как писал выше, на стороне Keentic (клиент) на интерфейсе Open VPN добавляется разрешающее правило с SRC=сеть\сети за pfSense.

              Сделать правила как я показал на скрине выше или что-то еще через CLI надо прописать?

              P 1 Reply Last reply Reply Quote 0
              • P
                pigbrother @CrazyMax
                last edited by pigbrother

                @CrazyMax said in OpenVPN между PFSence и Keenetic:

                Сделать правила как я показал на скрине выше или что-то еще через CLI надо прописать?

                По идее ваши правила разрешают вообще все. Я указывал более конкретно.
                Скриншот точно для интерфейса OpenVpn?
                И да, вместо указания TCP\UDP\ICMP в Кинетике можно использовать знвчение IP. Это как ANY в других системах.

                C 1 Reply Last reply Reply Quote 0
                • C
                  CrazyMax @pigbrother
                  last edited by

                  @pigbrother
                  Да, это скрин для ОпенВПН интерфейса.
                  Насчет

                  вместо указания TCP\UDP\ICMP в Кинетике можно использовать знвчение IP. Это как ANY в других системах.

                  Спасибо. Я так и думал что скорее всего как-то можно не городить такой огород. Теперь буду знать.

                  Насчет сабжа - тема закрыта. Как я сказал получилось сделать пробросом портов и девайс уже стоит на точке и работает. Экспериментировать с удаленным роутером ну что-то ваще не хоцца :)

                  Еще раз спасибо за помощь.

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.