Помогите разобраться с OpenVPN

snooker22

Я настроил OpenVPN server и client, соединение проходит нормально. Вот лог:

Tue Oct 26 08:22:05 2010 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Tue Oct 26 08:22:05 2010 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Tue Oct 26 08:22:05 2010 LZO compression initialized
Tue Oct 26 08:22:05 2010 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Oct 26 08:22:05 2010 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Oct 26 08:22:05 2010 Local Options hash (VER=V4): '41690919'
Tue Oct 26 08:22:05 2010 Expected Remote Options hash (VER=V4): '530fdded'
Tue Oct 26 08:22:05 2010 UDPv4 link local: [undef]
Tue Oct 26 08:22:05 2010 UDPv4 link remote: 192.168.129.10:5555
Tue Oct 26 08:22:05 2010 TLS: Initial packet from 192.168.129.10:5555, sid=12d82bc7 e05412f9
Tue Oct 26 08:22:05 2010 VERIFY OK: depth=1, /C=RU/ST=LO/L=Vyborg/O=HOME/OU=xxx/CN=pfSense-CA/emailAddress=xxx@yandex.ru
Tue Oct 26 08:22:05 2010 VERIFY OK: nsCertType=SERVER
Tue Oct 26 08:22:05 2010 VERIFY OK: depth=0, /C=RU/ST=LO/O=home/OU=xxx/CN=server/emailAddress=xxx@yandex.ru
Tue Oct 26 08:22:06 2010 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Oct 26 08:22:06 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Oct 26 08:22:06 2010 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Oct 26 08:22:06 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Oct 26 08:22:06 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue Oct 26 08:22:06 2010 [server] Peer Connection Initiated with 192.168.129.10:5555
Tue Oct 26 08:22:07 2010 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Tue Oct 26 08:22:07 2010 PUSH: Received control message: 'PUSH_REPLY,route 100.33.1.0 255.255.255.0,route 10.0.8.0 255.255.255.0,ping 10,ping-restart 60,ifconfig 10.0.8.6 10.0.8.5'
Tue Oct 26 08:22:07 2010 OPTIONS IMPORT: timers and/or timeouts modified
Tue Oct 26 08:22:07 2010 OPTIONS IMPORT: –ifconfig/up options modified
Tue Oct 26 08:22:07 2010 OPTIONS IMPORT: route options modified
Tue Oct 26 08:22:07 2010 TAP-WIN32 device [Подключение по локальной сети 7] opened: \.\Global{944ADE28-1166-4DDC-8602-E27DAE80ECE3}.tap
Tue Oct 26 08:22:07 2010 TAP-Win32 Driver Version 8.4
Tue Oct 26 08:22:07 2010 TAP-Win32 MTU=1500
Tue Oct 26 08:22:07 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.8.6/255.255.255.252 on interface {944ADE28-1166-4DDC-8602-E27DAE80ECE3} [DHCP-serv: 10.0.8.5, lease-time: 31536000]
Tue Oct 26 08:22:07 2010 Successful ARP Flush on interface [3] {944ADE28-1166-4DDC-8602-E27DAE80ECE3}
Tue Oct 26 08:22:07 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Tue Oct 26 08:22:07 2010 Route: Waiting for TUN/TAP interface to come up…
Tue Oct 26 08:22:08 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Tue Oct 26 08:22:08 2010 Route: Waiting for TUN/TAP interface to come up...
Tue Oct 26 08:22:09 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Tue Oct 26 08:22:09 2010 Route: Waiting for TUN/TAP interface to come up...
Tue Oct 26 08:22:11 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Tue Oct 26 08:22:11 2010 Route: Waiting for TUN/TAP interface to come up...
Tue Oct 26 08:22:12 2010 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Tue Oct 26 08:22:12 2010 route ADD 100.33.1.0 MASK 255.255.255.0 10.0.8.5
Tue Oct 26 08:22:12 2010 Route addition via IPAPI succeeded
Tue Oct 26 08:22:12 2010 route ADD 10.0.8.0 MASK 255.255.255.0 10.0.8.5
Tue Oct 26 08:22:12 2010 Route addition via IPAPI succeeded
Tue Oct 26 08:22:12 2010 Initialization Sequence Completed.

В локальной сети мой pfsense стоит с IP 100.33.1.42
Некоторым пользователям локальной сети дал доступ к Интернету (у них в сетевых настройках я прописал шлюз и DNS 100.33.1.42). Пользуются Интернетом нормально.

Так вот, при соединении по VPN  из дома я пингую только те компы, которым я дал доступ в Интернет. А другие я не вижу. Могу ли я в сетевом окружении увидеть все компы и как этого добиться?
И это мой первый вопрос.

Вопрос второй:
В локальной сети находится сервер под Линухом с IP 100.33.1.1 он принимает пинги только с компов из нашей подсети 100.33.1.xxx. Другие он не принимает, так настроен вышестоящими админами и перенастраивать никто не будет. Соответственно при соединении по VPN я не пингую и его. Как нибудь можно этого добиться?

Если можно, ответы поподробней (что и как делать) и для веб интерфейса, т.к. использую его для настройки pfsense.
За дельный совет запрошу кошелек для благодарностей!

dvserg

В локальной сети мой pfsense стоит с IP 100.33.1.42
Некоторым пользователям локальной сети дал доступ к Интернету (у них в сетевых настройках я прописал шлюз и DNS 100.33.1.42). Пользуются Интернетом нормально.

Так вот, при соединении по VPN  из дома я пингую только те компы, которым я дал доступ в Интернет. А другие я не вижу. Могу ли я в сетевом окружении увидеть все компы и как этого добиться?
И это мой первый вопрос.

Все компьютеры в сети должны иметь в настройках сети шлюз и ДНС. Делайте ограничение выхода в интернет другими средствами (правила файрвола).

Eugene

А у тебя в Firewall->NAT->Outbound, когда кликаешь плюсик (добавляешь правило) случайно в списке интерфейсов OpenVPN не появляется?

snooker22

Нет, не появляется.

Eugene

@snooker22:

Нет, не появляется.

Тогда либо то, что предложил dvserg, либо статические маргшруты нужны на всех компах с которыми собираешься работать.

snooker22

Первый вопрос я понял. А как на счет второго? Я хочу из дома пользоваться некоторыми ресурсами, которые идут через  сервер сети

Eugene

@snooker22:

Первый вопрос я понял. А как на счет второго? Я хочу из дома пользоваться некоторыми ресурсами, которые идут через  сервер сети

Можно попробовать настроить Outbound NAT используя твой LAN интерфейс. Не уверен, что сработает.

snooker22

Можно сделать так, чтобы сервер сети видел меня с ip из моей подсети?

Eugene

@Evgeny:

Можно попробовать настроить Outbound NAT используя твой LAN интерфейс.

snooker22

Мне еще советовали сделать так:

настройте интерфейс openvpn как layer2  девайс и засуньте в бридж с lan.

tap0 NO IP
            br0 LAN_IP –- LAN, VPN
lan0 NO IP

Настройки сервера примерно такие
more /etc/openvpn/road.conf                                                                            19:04:41
local 10.0.2.1
dev tap0
proto udp
port 1194
mode server
server-bridge 10.0.2.0 255.255.255.0 10.0.2.150 10.0.2.160
#push "route 10.0.2.0 255.255.255.0"
push "redirect-gateway"
push "dhcp-option DNS 10.0.2.1"
push "dhcp-option WINS 10.0.2.1"

#ifconfig-pool-persist /etc/openvpn/road/ip_pool
status /tmp/vpn-road.status
tls-auth /etc/openvpn/road/keys/ta.key 0
keepalive 10 30
client-to-client
duplicate-cn
max-clients 10
verb 3
tls-server
dh /etc/openvpn/road/keys/dh1024.pem
ca /etc/openvpn/road/keys/ca.crt
cert /etc/openvpn/road/keys/server.crt
key /etc/openvpn/road/keys/server.key
persist-key
persist-tun

Это тоже решение моего вопроса или нет? Если да, то как это сделать через веб интерфейс?