OpenVPN PFSense to PFSense клиенты не видят друг друга

Bansher

Всем спасибо за участие. Я переделал VPN соединение вот по этому мануалу Теперь все отлично работает.

Bansher

Еще раз подниму свою больную тему. В начале немного измененная картинка.

Итак ситуация. Pfsense 2 подключается к Pfsense 1 как OpenVPN клиент. Pfsense 2 пингует все хосты в сети (синяя линия). При попытке пинга с хоста 2 на хост 1, хост 1 пытается отвечать через default gw, то есть через cisco (зеленая линия). Не могу понять куда копать (стихами заговорил, блин). Прописывать статические маршруты на PFsense 2, ковырять VPN настройки клиента, ковырять VPN настройки сервера?

tcpdump хоста 1
192.168.10.13 > 192.168.0.25: ICMP echo request, id 7149, seq 8, length 64
13:28:01.678313 IP 192.168.0.25 > 192.168.10.13: ICMP echo reply, id 7149, seq 8, length 64
13:28:01.680493 IP 46.XX.XXX.XXX > 192.168.0.25: ICMP host 192.168.10.13 unreachable, length 36

То есть в первом случае, хост 1 понимает что отвечать нужно через VPN сервер. А во втором  нет. Как так? Ведь и в первом и во втором случае запрос приходит с одного и того же адреса. Заголовки пакетов разные?

netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            46.XX.XX.XX      UGS        0    49840    vr1
10.10.10.0/24      10.10.10.1        UGS        0        0 ovpnc1
10.10.10.1        link#8            UH          0        0 ovpnc1
10.10.10.2        link#8            UHS        0        0    lo0
46.XX.XX.XX/XX  link#2            U          0    69878    vr1
46.XX.XX.XX      link#2            UHS        0        0    lo0
127.0.0.1          link#5            UH          0      131    lo0
192.168.0.0/23    10.10.10.1        UGS        0    13198 ovpnc1
192.168.10.0/24    192.168.10.1      US          0    14093    vr0
192.168.10.1      link#1            UHS        0  147755    lo0

aleksvolgin

2 Bansher

Еще раз подниму свою больную тему.

Так заработало же вроде всё у вас?

Не могу понять куда копать

копайте в cторону ip2ip (gif) туннеля, и +ipsec, по желанию. OpenVPN оно для другого, на самом деле.

dvserg

Поменяйте инфраструктуру в своей сети, 2 шлюза - это плохая идея. Что такое Cisco?

Bansher

@dvserg:

Поменяйте инфраструктуру в своей сети, 2 шлюза - это плохая идея. Что такое Cisco?

Да я понимаю что бардак. Раньше основным шлюзом был Pfsense. Он раздавал интернет и удаленный доступ в другие точки города. Потом захотели сделать по взрослому и поставили cisco. Но развернуть на ней такой же VPN c сертификатами не получилось, поэтому pfsense оставили как костыль. Теперь необходимо подключить филиал, но админ который рулил циской вообще слился и приходится вот так изворачиваться.

P.S. Кто знает, где есть хороший мануал по GRE GIF туннелям?

rubic

@Bansher:

netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            46.XX.XX.XX      UGS         0    49840    vr1
10.10.10.0/24      10.10.10.1         UGS         0        0 ovpnc1
10.10.10.1         link#8             UH          0        0 ovpnc1
10.10.10.2         link#8             UHS         0        0    lo0
46.XX.XX.XX/XX   link#2             U           0    69878    vr1
46.XX.XX.XX      link#2             UHS         0        0    lo0
127.0.0.1          link#5             UH          0      131    lo0
192.168.0.0/23     10.10.10.1         UGS         0    13198 ovpnc1
192.168.10.0/24    192.168.10.1       US          0    14093    vr0
192.168.10.1       link#1             UHS         0   147755    lo0

Это откуда? Если с pfsense2, то что там делает строчка:

192.168.10.0/24    192.168.10.1      US          0    14093    vr0 ?

статический маршрут через себя в собственную локальную сеть? Не понимаю, должно по идее быть так:

192.168.10.0/24    link#1      U          0    14093    vr0

У вас, судя по симптомам, не так все плохо. Если пинги с pfsense2 ходят в сеть офиса, значит админ циски прописал на ней маршрут в сеть филиала через pfsense1 (хотя tcpdump-нуть пинг с pfsense2 на хосте1 все же не помешает для уверенности).

Убирайте статический маршрут, если есть, и адресацию на схеме приведите в соответствие, если что-то менялось. В чем, кстати, рисовали?

Bansher

@rubic:

В чем, кстати, рисовали?

Dia
http://ru.wikipedia.org/wiki/Dia

Bansher

@rubic:

netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            46.XX.XX.XX      UGS         0    49840    vr1
10.10.10.0/24      10.10.10.1         UGS         0        0 ovpnc1
10.10.10.1         link#8             UH          0        0 ovpnc1
10.10.10.2         link#8             UHS         0        0    lo0
46.XX.XX.XX/XX   link#2             U           0    69878    vr1
46.XX.XX.XX      link#2             UHS         0        0    lo0
127.0.0.1          link#5             UH          0      131    lo0
192.168.0.0/23     10.10.10.1         UGS         0    13198 ovpnc1
192.168.10.0/24    192.168.10.1       US          0    14093    vr0
192.168.10.1       link#1             UHS         0   147755    lo0

Это откуда? Если с pfsense2, то что там делает строчка:

192.168.10.0/24    192.168.10.1       US          0    14093    vr0 ?

статический маршрут через себя в собственную локальную сеть? Не понимаю, должно по идее быть так:

192.168.10.0/24    link#1       U          0    14093    vr0

Ваша правда. Статический маршрут был лишним. Динамический берется из настроек LAN интерфейса и выглядит как вы и говорили:
192.168.10.0/24    link#1            U          0      232    vr0

У меня другие думы. При пинге с хоста 2, хост 1 пытается отправлять ответ через default gw который cisco и это правильно. Так должно быть. То есть, если мы на cisco пропишем маршрут в сеть pfsense 2, то хосты одной сети увидят хосты другой. Я прав?

Bansher

Проверено. Прав :)

rubic

Поздравляю! И с наступающим!))