Помогите разобраться с OpenVPN
-
Я настроил OpenVPN server и client, соединение проходит нормально. Вот лог:
Tue Oct 26 08:22:05 2010 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Tue Oct 26 08:22:05 2010 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Tue Oct 26 08:22:05 2010 LZO compression initialized
Tue Oct 26 08:22:05 2010 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Oct 26 08:22:05 2010 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Oct 26 08:22:05 2010 Local Options hash (VER=V4): '41690919'
Tue Oct 26 08:22:05 2010 Expected Remote Options hash (VER=V4): '530fdded'
Tue Oct 26 08:22:05 2010 UDPv4 link local: [undef]
Tue Oct 26 08:22:05 2010 UDPv4 link remote: 192.168.129.10:5555
Tue Oct 26 08:22:05 2010 TLS: Initial packet from 192.168.129.10:5555, sid=12d82bc7 e05412f9
Tue Oct 26 08:22:05 2010 VERIFY OK: depth=1, /C=RU/ST=LO/L=Vyborg/O=HOME/OU=xxx/CN=pfSense-CA/emailAddress=xxx@yandex.ru
Tue Oct 26 08:22:05 2010 VERIFY OK: nsCertType=SERVER
Tue Oct 26 08:22:05 2010 VERIFY OK: depth=0, /C=RU/ST=LO/O=home/OU=xxx/CN=server/emailAddress=xxx@yandex.ru
Tue Oct 26 08:22:06 2010 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Oct 26 08:22:06 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Oct 26 08:22:06 2010 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Oct 26 08:22:06 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Oct 26 08:22:06 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue Oct 26 08:22:06 2010 [server] Peer Connection Initiated with 192.168.129.10:5555
Tue Oct 26 08:22:07 2010 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Tue Oct 26 08:22:07 2010 PUSH: Received control message: 'PUSH_REPLY,route 100.33.1.0 255.255.255.0,route 10.0.8.0 255.255.255.0,ping 10,ping-restart 60,ifconfig 10.0.8.6 10.0.8.5'
Tue Oct 26 08:22:07 2010 OPTIONS IMPORT: timers and/or timeouts modified
Tue Oct 26 08:22:07 2010 OPTIONS IMPORT: –ifconfig/up options modified
Tue Oct 26 08:22:07 2010 OPTIONS IMPORT: route options modified
Tue Oct 26 08:22:07 2010 TAP-WIN32 device [Подключение по локальной сети 7] opened: \.\Global{944ADE28-1166-4DDC-8602-E27DAE80ECE3}.tap
Tue Oct 26 08:22:07 2010 TAP-Win32 Driver Version 8.4
Tue Oct 26 08:22:07 2010 TAP-Win32 MTU=1500
Tue Oct 26 08:22:07 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.8.6/255.255.255.252 on interface {944ADE28-1166-4DDC-8602-E27DAE80ECE3} [DHCP-serv: 10.0.8.5, lease-time: 31536000]
Tue Oct 26 08:22:07 2010 Successful ARP Flush on interface [3] {944ADE28-1166-4DDC-8602-E27DAE80ECE3}
Tue Oct 26 08:22:07 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Tue Oct 26 08:22:07 2010 Route: Waiting for TUN/TAP interface to come up…
Tue Oct 26 08:22:08 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Tue Oct 26 08:22:08 2010 Route: Waiting for TUN/TAP interface to come up...
Tue Oct 26 08:22:09 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Tue Oct 26 08:22:09 2010 Route: Waiting for TUN/TAP interface to come up...
Tue Oct 26 08:22:11 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Tue Oct 26 08:22:11 2010 Route: Waiting for TUN/TAP interface to come up...
Tue Oct 26 08:22:12 2010 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Tue Oct 26 08:22:12 2010 route ADD 100.33.1.0 MASK 255.255.255.0 10.0.8.5
Tue Oct 26 08:22:12 2010 Route addition via IPAPI succeeded
Tue Oct 26 08:22:12 2010 route ADD 10.0.8.0 MASK 255.255.255.0 10.0.8.5
Tue Oct 26 08:22:12 2010 Route addition via IPAPI succeeded
Tue Oct 26 08:22:12 2010 Initialization Sequence Completed.В локальной сети мой pfsense стоит с IP 100.33.1.42
Некоторым пользователям локальной сети дал доступ к Интернету (у них в сетевых настройках я прописал шлюз и DNS 100.33.1.42). Пользуются Интернетом нормально.Так вот, при соединении по VPN из дома я пингую только те компы, которым я дал доступ в Интернет. А другие я не вижу. Могу ли я в сетевом окружении увидеть все компы и как этого добиться?
И это мой первый вопрос.Вопрос второй:
В локальной сети находится сервер под Линухом с IP 100.33.1.1 он принимает пинги только с компов из нашей подсети 100.33.1.xxx. Другие он не принимает, так настроен вышестоящими админами и перенастраивать никто не будет. Соответственно при соединении по VPN я не пингую и его. Как нибудь можно этого добиться?Если можно, ответы поподробней (что и как делать) и для веб интерфейса, т.к. использую его для настройки pfsense.
За дельный совет запрошу кошелек для благодарностей! -
В локальной сети мой pfsense стоит с IP 100.33.1.42
Некоторым пользователям локальной сети дал доступ к Интернету (у них в сетевых настройках я прописал шлюз и DNS 100.33.1.42). Пользуются Интернетом нормально.Так вот, при соединении по VPN из дома я пингую только те компы, которым я дал доступ в Интернет. А другие я не вижу. Могу ли я в сетевом окружении увидеть все компы и как этого добиться?
И это мой первый вопрос.Все компьютеры в сети должны иметь в настройках сети шлюз и ДНС. Делайте ограничение выхода в интернет другими средствами (правила файрвола).
-
А у тебя в Firewall->NAT->Outbound, когда кликаешь плюсик (добавляешь правило) случайно в списке интерфейсов OpenVPN не появляется?
-
Нет, не появляется.
-
Нет, не появляется.
Тогда либо то, что предложил dvserg, либо статические маргшруты нужны на всех компах с которыми собираешься работать.
-
Первый вопрос я понял. А как на счет второго? Я хочу из дома пользоваться некоторыми ресурсами, которые идут через сервер сети
-
Первый вопрос я понял. А как на счет второго? Я хочу из дома пользоваться некоторыми ресурсами, которые идут через сервер сети
Можно попробовать настроить Outbound NAT используя твой LAN интерфейс. Не уверен, что сработает.
-
Можно сделать так, чтобы сервер сети видел меня с ip из моей подсети?
-
Можно попробовать настроить Outbound NAT используя твой LAN интерфейс.
-
Мне еще советовали сделать так:
настройте интерфейс openvpn как layer2 девайс и засуньте в бридж с lan.
tap0 NO IP
br0 LAN_IP –- LAN, VPN
lan0 NO IPНастройки сервера примерно такие
more /etc/openvpn/road.conf 19:04:41
local 10.0.2.1
dev tap0
proto udp
port 1194
mode server
server-bridge 10.0.2.0 255.255.255.0 10.0.2.150 10.0.2.160
#push "route 10.0.2.0 255.255.255.0"
push "redirect-gateway"
push "dhcp-option DNS 10.0.2.1"
push "dhcp-option WINS 10.0.2.1"#ifconfig-pool-persist /etc/openvpn/road/ip_pool
status /tmp/vpn-road.status
tls-auth /etc/openvpn/road/keys/ta.key 0
keepalive 10 30
client-to-client
duplicate-cn
max-clients 10
verb 3
tls-server
dh /etc/openvpn/road/keys/dh1024.pem
ca /etc/openvpn/road/keys/ca.crt
cert /etc/openvpn/road/keys/server.crt
key /etc/openvpn/road/keys/server.key
persist-key
persist-tunЭто тоже решение моего вопроса или нет? Если да, то как это сделать через веб интерфейс?