OpenVPN туннель между филиалами

stranger61

Тунель поднялся,  с локального компа центрального филиала пингуется удаленный тунельный IP (я чуть чуть перестроил сеть тунеля OpenVPN и изменил порт было 172.10.0.0/24 и порт 1195 а стало 172,10,10,0/24 и порт 1196) но насколько я понимаю это не влияет на саму проблему. Так же с удаленного сервера идет трассировка на компы центрального филиала, пинги не проходят.

Трассировкка с удаленного сервера:
1  172.10.10.1 (172.10.10.1)  80.771 ms  91.737 ms  78.193 ms
2  192.168.1.14 (192.168.1.14)  78.477 ms *  79.501 ms

Таблица маршрутизации центрального офиса:

default 83.221.214.193 UGS 0 93588 1492 pppoe1
46.61.ххх.182 link#9 UHS 0 0 16384 lo0
80.254.108.194 83.221.214.193 UGHS 0 177 1492 pppoe1
80.254.108.202 83.221.214.193 UGHS 0 1574 1492 pppoe1
83.221.214.193 link#9 UHS 0 3281 1492 pppoe1
127.0.0.1 link#5 UH 0 1390588 16384 lo0
172.10.10.0/24 172.10.10.2 UGS 0 2345 1500 ovpns1
172.10.10.1 link#10 UHS 0 0 16384 lo0
172.10.10.2 link#10 UH 0 0 1500 ovpns1
192.168.1.0/24 link#3 U 0 1777593 1500 re0
192.168.1.1 link#3 UHS 0 217545 16384 lo0
192.168.10.0/24 172.10.10.2 UGS 0 1320 1500 ovpns1

Таблица маршрутизации филиала:

default 192.168.2.1 UGS 0 961223 1500 rl0
127.0.0.1 link#4 UH 0 1349660 16384 lo0
172.10.10.1/32 172.10.10.5 UGS 0 0 1500 ovpnc1
172.10.10.5 link#8 UH 0 0 1500 ovpnc1
172.10.10.6 link#8 UHS 0 0 16384 lo0
192.168.1.0/24 172.10.10.5 UGS 0 2671 1500 ovpnc1
192.168.2.0/24 link#2 U 0 5608 1500 rl0
192.168.2.2 link#2 UHS 0 0 16384 lo0
192.168.10.0/24 link#1 U 0 820119 1500 vr0
192.168.10.1 link#1 UHS 0 62604 16384 lo0

Catfish34

Бегло посмотрел … вроде все нормально.

У меня работает схема сделанная  по этому монуалу:
http://doc.pfsense.org/index.php/OpenVPN_Site-to-Site_(Shared_Key,_2.0)

Попробуйте реализовать ее. Как по мне она проще.
Для ее работоспособности достаточно в Advanced Options прописать 1 маршрут.

stranger61

Я конечно попытаюсь, но вот дело в том, что Peer to Peer не совсем устраивает в недалеком будущем может присоединиться еще один филиал!!! Поэтому сервер ставлю в Remote Access

Catfish34

Очень зря)
У меня 2 филиала и все работает.
Ограничений нет. Как я понимаю хоть 100500 филиалов)

stranger61

Привет всем еще раз. Перенастроил всё в точности как написано тут http://doc.pfsense.org/index.php/OpenVPN_Site-to-Site_(Shared_Key,_2.0) С серверов могу пинговать любые удаленные машины в удаленной сети. Так-же с локальной машины в сети могу пинговать внутренний локальный IP (LAN-интерфейс) сервера в удаленной сети. Но вот на удаленную машину с локальной машины ничего не идет. Трассировка затыкается на удаленном IP адресе VPN тунеля. Маршруты на сервере и на клиенте прописал, iroute в настройках клиента на сервере тоже прописал на 10-ю подсеть.

Подскажите в чем может быть дело?? в каком хоть направлении рыть? А то все говорят что у всех всё везде прекрасно работает, а помочь разобраться никто не может! :(

Таблица маршрутов офиса:

default 83.221.214.196 UGS 0 787680 1492 pppoe1
10.0.0.1 link#10 UHS 0 0 16384 lo0
10.0.0.2 link#10 UH 0 0 1500 ovpns1
31.23.ххх.100 link#9 UHS 0 0 16384 lo0
80.254.108.198 83.221.214.196 UGHS 0 77 1492 pppoe1
80.254.108.206 83.221.214.196 UGHS 0 7935 1492 pppoe1
83.221.214.196 link#9 UHS 0 39130 1492 pppoe1
127.0.0.1 link#5 UH 0 5027030 16384 lo0
192.168.1.0/24 link#3 U 0 6682294 1500 re0
192.168.1.1 link#3 UHS 0 335841 16384 lo0
192.168.10.0/24 10.0.0.2 UGS 0 64 1500 ovpns1

Таблица маршрутов филиала: (192.168.2.2=>это WAN интерфейс)

default 192.168.2.1 UGS 0 2143646 1500 rl0
10.0.0.1 link#8 UH 0 0 1500 ovpnc1
10.0.0.2 link#8 UHS 0 0 16384 lo0
127.0.0.1 link#4 UH 0 2847281 16384 lo0
192.168.1.0/24 10.0.0.1 UGS 0 33 1500 ovpnc1
192.168.2.0/24 link#2 U 0 14529 1500 rl0
192.168.2.2 link#2 UHS 0 0 16384 lo0
192.168.10.0/32 10.0.0.1 UGS 0 0 1500 ovpnc1 =>
192.168.10.0/24 link#1 U 0 2504555 1500 vr0
192.168.10.1 link#1 UHS 0 191808 16384 lo0

stranger61

Проблема не в OpenVPN оказывается. Сегодня поставил Ipsec - результат можно сказать тот-же!!!! :(

С сервера удаленного филиала могу пинговать любую машину в офисе! А с локальной машины офиса и с сервера офиса пингуется только локальный адрес сервера филиала и всё!!!!

Правила в фаерволе прописал, NAT на обоих сторонах одинаково настроент.. никакие манипуляции не помогают!  Может кто-нибудь сталкивался с похожей ситуацией?

Johny

Была похожая ситуёвина . У меня было "Сеть 1" 192.168.1.х и "Сеть 2" 192.168.2.х  соединенные по IPsec . Из "Сети 2" Не пинговались компы "Сети 1" (ни с сервера "Сети 2" , ни с компов) . Проблема была в том , что машины в " Сети 1" по умолчанию отвечают на пинг пришедший только из той же подсети (192.168.1.х) Вылечилось настройкой файрвола/брандмауэра/антивирусника на компах в "Сети 1" (благо их там не много) .
P.S. Прошу прощения если криво выражаюсь =)

stranger61

Файерволы на стороне которая не пингуется не стоят, точнее на тех машинах от которых пытаюсь получить ответ! не идет так-же и трассировка, не отвечают сервисы которые подняты на Win сервере в удаленной сети ( например RDP).

У меня такое ощущение, что когда я игрался и изучал сервак, где-то неправильно запомнились какие-то правила NAT но в интерфейс они не выводятся почему-то! Сами правила NAT не однократно сбрасывал (ставил в Авто, удалял то что выводилось в вебморде и опять устанавливал в Manual)!

Может еще где посмотреть ?

Может проблема в том, что офисный pfsense имеет PPPoE интерфейс подключения к провайдеру и получает белый динамический IP а филиальная машина находится за ADSL модемом и получает серый IP от ADSL маршрутизатора. Хотя лично я тут проблем не вижу! :(

В Paket Capture смотрел - пакеты из сети офиса доходят до филиального сервака нормально. куда дальше смотреть даже понять не могу. япересмотрел уже все настройки на обоих концах!

Johny

Файрвол не установлен ? А как же штатный брандмауэр который изначально включен в Винду ?
Насколько я понимаю NAT тут вообще не причем , т.к. через него в данном случае трафик не идет (по крайней мере при использовании IPsec) .
В данном случае я бы поставил какую нибудь умную железку (которая точно отвечает на пинг) в ту сеть которая не пингуется чтоб исключить вариант с настройками Винды .

stranger61

На другой стороне стоит сервер, коорый пингуется в сети филиала 100%. Проверено неоднократно! Да и все остальные машины тоже.

Просто меня настораживает то, что ситуация одинакова что с OpenVPN, что с Ipsec/ Именно поэтому я решил оставить в покое настройки самих туннелей и попытаься рыть в другую сторону, но вот в refre. - не могук понять! Дело в том, что пинги доходят до локального интерфейса филиального PF а вот в саму локальную сеть филиала не попадают! :(

dvserg

Попробуйте трейсроутом удаленные компы проверить.

stranger61

При трассеровке  удаленного сервра: с офисного PF заворачивает в сеть провайдера

При трассировке удаленного сервера с локального компа офиса 1-й узел это офисный PF а 2-й, это  удаленный LAN PF сервера филала, т.е. всё нормально!  ???

Т.Е  трассировка до узла 192.168.10.1(LAN PF филиала) с PF офиса:
Traceroute output:
1  193.214.221.83.static.donpac.ru (83.221.214.193)  28.563 ms  28.990 ms  28.767 ms
2  238.214.221.83.static.donpac.ru (83.221.214.238)  27.676 ms  28.407 ms  28.559 ms

трассировка до узла 192.168.10.1 с локального компа офиса:
  1    <1 мс    <1 мс    <1 мс  pfsense [192.168.1.1]
  2    79 ms    79 ms    79 ms  apfsense [192.168.10.1]

Трассировка завершена.

Трассировка к удаленному компу с локального компа
Трассировка маршрута к 192.168.10.254 с максимальным числом прыжков 30

1    <1 мс    <1 мс    <1 мс  pfsense [192.168.1.1]
  2    *        *        *    Превышен интервал ожидания для запроса.

gr0mW

А настройки Tunnel Network и Remote network и Advanced Options сервера и клиента можно?

stranger61

Не удалось сюда прекрепить, поэтому выкладываю на сайт:
Http://www.medrostov.ru/temp/IpSec.doc

gr0mW

Извиняюсь я спрашивал о настройках openVPN. А правило на Wan apfsense есть? И посмотрите маски.

stranger61

OpenVpn я снес поднял IpSec, сейчас опять настрою OpenVPN.

stranger61

Выложил настройки серваеров филиала и офиса. Там-же написал комментарии.
И, вот теперь подробнее, какое правило должно быть на Wan apfsens ( это филиал) ???
www.medrostov.ru/temp/OpenVPN.doc
Правила в NAT у меня идентичные (только поправка на сети) на обоих концах.
ROSTELEKOM  192.168.1.0/24 *  *  500 * * YES Auto created rule for ISAKMP - LOCAL to ROSTELEKOM 
ROSTELEKOM  192.168.1.0/24 *  * * * * NO Auto created rule for LOCAL to ROSTELEKOM 
ROSTELEKOM  127.0.0.0/8 *  * * * 1024:65535 NO Auto created rule for localhost to ROSTELEKOM

Если имелось в виду открыть в файерволе порт для подключения удаленного сервера (в моем случае 1196) то конечно открыл - иначе туннель не поднимется :)

gr0mW

пост http://forum.pfsense.org/index.php/topic,47213.0.html
посмотрите инструкцию http://dl.dropbox.com/u/31243894/openvpn_pfsense.doc

gr0mW

Попробуйте в Advanced configuration сервера прописать route 192.168.10.0 255.255.255.0; push "route 192.168.1.0 255.255.255.0"

stranger61

Настраивал и согласно этой инструкции и согласно поста и не раз (за 3 недели то).

Перенастроил согласно инструкции, вывалил маршрут к удаленной сетке  в Advansed установил галку Inter-client communication

Получил следующую конфигурацию в /var/etc/openvpn/server1.conf в офисе:

dev ovpns1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-128-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 109.165.56.208
tls-server
server 10.0.0.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc
lport 1196
management /var/etc/openvpn/server1.sock unix
push "route 192.168.1.0 255.255.255.0"
client-to-client
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /etc/dh-parameters.1024
route 192.168.10.0 255.255.255.0

и
конфигурацию в /var/etc/openvpn/client1.conf  в филиале:
dev ovpnc1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_client1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-128-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 192.168.2.2
tls-client
client
lport 0
management /var/etc/openvpn/client1.sock unix
remote *****.mine.nu 1196
ifconfig 10.0.0.2 10.0.0.1
route 192.168.1.0 255.255.255.0
ca /var/etc/openvpn/client1.ca
cert /var/etc/openvpn/client1.cert
key /var/etc/openvpn/client1.key

В итоге:

• Из филиала удаленные машины как не откликались так и не откликаются
• с PF офиса нет ответа ни от удаленного PF ни от удаленной машины
• с PF филиала есть ответ от машин офиса.

Маршруты прилагаю!
1-й скрин маршрутф офиса, второй маршруты филиала.