OpenVPN часть сети не видна за шлюзом?!

Buch

у меня такое из-за антивирусов, не допускают подключения из другой сети

Vadevil

эту версию исключил: отключал антивирусы - не помогло, плюс в сети есть 3 com и hp коммутаторы, к ним доступа тоже нет, но зато вижу сетевую мфу TOSHIBA e-STUDIO182 ;-) в чем логика понять не могу!
подскажите куда смотреть?! очень нужно решить проблему!

werter

@Vadevil:

эту версию исключил: отключал антивирусы - не помогло, плюс в сети есть 3 com и hp коммутаторы, к ним доступа тоже нет, но зато вижу сетевую мфу TOSHIBA e-STUDIO182 ;-) в чем логика понять не могу!
подскажите куда смотреть?! очень нужно решить проблему!

В конфиге сервера и клиентов роутинг прописан? Пример тут - http://www.secure-computing.net/wiki/index.php/OpenVPN/Routing

Vadevil

конфиг у клиента приводил выше, сеть клиента 192.168.100.0
вывод route print:
IPv4 таблица маршрута
Активные маршруты:
Сетевой адрес          Маска сети      Адрес шлюза      Интерфейс  Метрика
          0.0.0.0          0.0.0.0    192.168.100.1  192.168.100.136    25
        10.0.8.0    255.255.255.0        10.0.8.5        10.0.8.6    30
        10.0.8.4  255.255.255.252        On-link          10.0.8.6    286
        10.0.8.6  255.255.255.255        On-link          10.0.8.6    286
        10.0.8.7  255.255.255.255        On-link          10.0.8.6    286
        127.0.0.0        255.0.0.0        On-link        127.0.0.1    306
        127.0.0.1  255.255.255.255        On-link        127.0.0.1    306
  127.255.255.255  255.255.255.255        On-link        127.0.0.1    306
      192.168.0.0    255.255.255.0        10.0.8.5        10.0.8.6    30
    192.168.100.0    255.255.255.0        On-link  192.168.100.136    281
    192.168.100.0    255.255.255.0        10.0.8.5        10.0.8.6    30
  192.168.100.136  255.255.255.255        On-link  192.168.100.136    281
  192.168.100.255  255.255.255.255        On-link  192.168.100.136    281
        224.0.0.0        240.0.0.0        On-link        127.0.0.1    306
        224.0.0.0        240.0.0.0        On-link          10.0.8.6    286
        224.0.0.0        240.0.0.0        On-link  192.168.100.136    281
  255.255.255.255  255.255.255.255        On-link        127.0.0.1    306
  255.255.255.255  255.255.255.255        On-link          10.0.8.6    286
  255.255.255.255  255.255.255.255        On-link  192.168.100.136    281

Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0      192.168.0.1  По умолчанию
          0.0.0.0          0.0.0.0    192.168.11.1  По умолчанию

на сервере такой конфиг:
dev ovpns1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher BF-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local ххх.ххх.ххх.ххх
tls-server
server 10.0.8.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc
username-as-common-name
auth-user-pass-verify /var/etc/openvpn/server1.php via-env
tls-verify /var/etc/openvpn/server1.tls-verify.php
lport 1194
management /var/etc/openvpn/server1.sock unix
max-clients 100
push "route 192.168.0.0 255.255.255.0"
client-to-client
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /etc/dh-parameters.1024
tls-auth /var/etc/openvpn/server1.tls-auth 0
comp-lzo
persist-remote-ip
float
push "route 10.0.8.0 255.255.255.0"
push "route 192.168.100.0 255.255.255.0"
route 192.168.100.0 255.255.255.0

сеть за сервером: 192.168.0.0, вот в ней и видно только треть всех компьюетеров и сетевых устройств

werter

сеть за сервером: 192.168.0.0, вот в ней и видно только треть всех компьюетеров и сетевых устройств

А у этих устройств, к-ые невидны, шлюзом указано что? Должен быть локальный адрес вашего сервера.

Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0      192.168.0.1  По умолчанию
          0.0.0.0          0.0.0.0    192.168.11.1  По умолчанию

А два шлюза зачем ? Для динамического выбора маршрута ? И вообще зачем постоянные маршруты?

gr0mW

А вообще как у Вас построена сеть? Другие подсети (192.168.100.0/24 и тд) через другие интерфейсы или VLAN?
Шлюз для 192.168.100.0/24?

werter

Честно, каша какая-то с конфигом :(

Статьи с примерами. Изучаем и делаем аналогично.

http://forum.pfsense.org/index.php/topic,7840.0.html

http://forum.pfsense.org/index.php/topic,32662.msg168997.html#msg168997

http://doc.pfsense.org/index.php/VPN_Capability_OpenVPN

http://forum.pfsense.org/index.php/topic,35815.0.html

http://habrahabr.ru/post/129510/

gr0mW

можно схему сети

Vadevil

схема простая: ноутбук с openvpn клиентом на windows 7, 192.168.100.136 => роутер Dlink DIR300 192.168.100.1 <=> internet <=>  роутер pfSense 2.0.1, LAN ip 192.168.0.1 => сеть за шлюзом 192.168.0.0/24. В сети  у компьютеров ip статические, шлюзом прописан 192.168.0.1, у коммутаторов шлюз не указан. Интересно, что с самого pfsense я  всех вижу, и могу зайти на теже коммутаторы, если, например, подключусь по ssh с ноутбука к pfsense и сделаю проброс тоннелей. Настроил подключение VPN PPTP - ситуация такая же, что и с openvpn, с ноутбука вижу ту же треть всей сети ;( разрешающие правила для всех для LAN интерфейса в файрволле прописывал - не помогло. пробовал подключаться с другого компьютера (с внутренней подсетью 192.168.1.0/24) - вижу ту же треть.
то есть проблема выходит за рамки openvpn?

gr0mW

А NetBIOS на ПК включен?
Пинги на ПК за pf идут? На все или только на часть?
Посмотрите настройко фаеров на ПК которые видно и которые нет.

Vadevil

у части компьютеров антихакер касперского блокировал доступ с 10.8.0.0/24 - с этим все понятно, как исправить тоже ясно, а на части, в том числе и на коммутаторах, не прописан шлюз, из-за этого я их не вижу через vpn, но преспокойно вижу внутри локалки, как эту проблему можно решить без прописывания шлюза?
спасибо всем за помощь!

werter

@Vadevil:

у части компьютеров антихакер касперского блокировал доступ с 10.8.0.0/24 - с этим все понятно, как исправить тоже ясно, а на части, в том числе и на коммутаторах, не прописан шлюз, из-за этого я их не вижу через vpn, но преспокойно вижу внутри локалки, как эту проблему можно решить без прописывания шлюза?
спасибо всем за помощь!

1. Я вам по поводу шлюза еще пять постов назад писал :(
2.  Врядли без прописывания шлюза выйдет.

Botv0091

Что бы не открывать новую тему:
Поднял OpenVPN на последней версии pfsense по инструкции из FAQ`а.
Для обеспечения связи на компе клиента в конфиге OVPN-клиента прописал
route 192.168.2.0 255.255.255.0
Запустил. Связь с серваком OVPN есть, пинги до ip LAN карточки (192.168.2.1) от клиента идут.
А вот за OVPN сервак пинги не идут и так же из-за OVPN сервака (да и с него самого).
При этом при всем в конфиге сервера стоят такие параметры:
Tunnel NetWork 10.7.12.0/24
Local NetWork 192.168.2.0/24
Писал в Advanced
route 192.168.1.0 255.255.255.0 (сеть клиента и кстати надо там двоеточие или нет, если строка одна).

Но результата не добился. На фаерволе pass all по всем интерфейсам. Понимаю что дело все или в роутах или в фаерволе, но подцепить проблему не могу. Подскажите плиз что смотреть и ответьте - надо ли делать reboot pfsens`a после каждых изменений в конфигах OVPN или достаточно клиента перезапустить? Спасибо