PFsense OpenVPN и 3 филиала
-
Пытаюсь настроить OpenVPN на pfsense, весь мозг сломал, никак не разберусь.. :(
Задача такая, что есть центральный офис и к нему нужно подключить 3 филиала по OpenVPN чтоб все видели друг друга, адресация во всех филиалах разная.
В центральном офисе я настроил опенвпн сервер site-to-site к нему подключил один офис, например как тут - http://fafadiatech.blogspot.ru/2012/09/openvpn-on-pfsense-site-to-site_1.html ну таких инструкций полно. Но никак не могу понять как подключить еще два филиала ???Пожалуйста подскажите хотя бы в каком направлении смотреть, может есть какой нибудь мануал?
-
Могу ошибаться , скорее все тоже самое , только порт используется другой . И маршруты прописать.
-
Могу ошибаться , скорее все тоже самое , только порт используется другой . И маршруты прописать.
На вкладке Servers вроде можно добавлять серверы.
-
В смысле для каждого филиала поднять свой сервер? А клиенты будут видеть друг друга тогда?
-
Да. пинг будет если пропишеш маршруты . Видеть будут если сеть будет шире не 0/24
-
-
Когда VPN будет и нарисуеш маршруты ты сможешь заходить на ПК если ты знаеш IP или по имени "в DNS должна быть информация".
Для того что бы в сетевом окружении были видны все ПК , нужно 255.255.0.0 . Будет загружать канал широковещательными пакетами , что не очень хорошо. -
-
Когда VPN будет и нарисуеш маршруты ты сможешь заходить на ПК если ты знаеш IP или по имени "в DNS должна быть информация".
Для того что бы в сетевом окружении были видны все ПК , нужно 255.255.0.0 . Будет загружать канал широковещательными пакетами , что не очень хорошо.В Client Specific Override есть много интересных опций и про DNS и про NetBIOS
-
Я соединял несколько офисов следующим образом.
В настройках сервера Tunnel Network 10.Х.Х.0/28. В OpenVPN: Client Specific Override–--Client Settings -- Advanced одному клиенту прописал ifconfig-push 10.Х.Х.5 10.Х.Х.6, второму клиенту ifconfig-push 10.Х.Х.7 10.Х.Х.8 и т.д.(пример). То есть все клиенты подключаються к одному серверу OpenVPN с постоянными IP туннелей. Маска подсети и адреса зависит от количества клиентов.
Ну а дальше iroute и push "route......." настраивайтеПосмотрите http://openvpn.net/index.php/open-source/documentation/howto.html#policy
и http://www.sergeysl.ru/freebsd-openvpn-client-static-ip/ -
Всем спасибо, разобрался, связь с центр. офисом есть. Теперь проблема в другом… настроил резервирование каналов, на резервный канал переходит отлично но на резервном канале не поднимается опенвпн. На клиенте в Advanced прописал:
remote BB.BB.BB.BB
keepalive 10 60и вот если на клиенте отключить основной канал он переходит на резервный но к центральному офису не подключается. Что может быть?
-
Всем спасибо, разобрался, связь с центр. офисом есть. Теперь проблема в другом… настроил резервирование каналов, на резервный канал переходит отлично но на резервном канале не поднимается опенвпн. На клиенте в Advanced прописал:
remote BB.BB.BB.BB
keepalive 10 60и вот если на клиенте отключить основной канал он переходит на резервный но к центральному офису не подключается. Что может быть?
Посмотрите что пишет в логах
-
Вот такое в логах когда отключаю в филиале(на клиенте) основной канал и переходит на резервный. Такое впечатление что где то не переключается на резервный шлюз и поэтому считает что адрес не доступен. Куда смотреть?
Feb 4 18:39:58 openvpn[23884]: [office] Inactivity timeout (--ping-restart), restarting Feb 4 18:39:58 openvpn[23884]: SIGUSR1[soft,ping-restart] received, process restarting Feb 4 18:40:03 openvpn[23884]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info. Feb 4 18:40:03 openvpn[23884]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts Feb 4 18:40:03 openvpn[23884]: Re-using SSL/TLS context Feb 4 18:40:03 openvpn[23884]: Attempting to establish TCP connection with [AF_INET]AA.AA.AA.AA:1194 [nonblock] Feb 4 18:40:13 openvpn[23884]: TCP: connect to [AF_INET]AA.AA.AA.AA:1194 failed, will try again in 5 seconds: Operation timed out Feb 4 18:40:13 openvpn[23884]: SIGUSR1[soft,init_instance] received, process restarting Feb 4 18:40:18 openvpn[23884]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info. Feb 4 18:40:18 openvpn[23884]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts Feb 4 18:40:18 openvpn[23884]: Re-using SSL/TLS context Feb 4 18:40:18 openvpn[23884]: TCP/UDP: Socket bind failed on local address [AF_INET]BB.BB.BB.BB: Can't assign requested address Feb 4 18:40:18 openvpn[23884]: Exiting Feb 4 18:40:18 openvpn[23884]: /usr/local/sbin/ovpn-linkdown ovpnc1 1500 1543 10.16.0.5 10.16.0.1 init
где AA.AA.AA.AA - адрес центрального сервера
BB.BB.BB.BB - адрес этого клиентаРезервирование настраивал как описано тут - http://shop.nativepc.ru/content/78-pfsense-2-cookbook-6
-
Похоже клиенты не поддерживают резервирование, решение нашел тут - http://forum.pfsense.org/index.php?topic=32603.0
-
Пытаюсь настроить OpenVPN на pfsense, весь мозг сломал, никак не разберусь.. :(
Задача такая, что есть центральный офис и к нему нужно подключить 3 филиала по OpenVPN чтоб все видели друг друга, адресация во всех филиалах разная.
В центральном офисе я настроил опенвпн сервер site-to-site к нему подключил один офис, например как тут - http://fafadiatech.blogspot.ru/2012/09/openvpn-on-pfsense-site-to-site_1.html ну таких инструкций полно. Но никак не могу понять как подключить еще два филиала ???Пожалуйста подскажите хотя бы в каком направлении смотреть, может есть какой нибудь мануал?
А можете подробнее написать какие настройки сделали раз разобрались? А то такоя проблема. тоже установил в обоих офисах pfsense последний и настроил по мануалу опенвпн, а в итоге соединение проходит, а пинг не идёт.
-
А можете подробнее написать какие настройки сделали раз разобрались? А то такоя проблема. тоже установил в обоих офисах pfsense последний и настроил по мануалу опенвпн, а в итоге соединение проходит, а пинг не идёт.
Вот в этой теме - http://forum.pfsense.org/index.php/topic,58517.0.html я все расписал как настроено и там же мне указали на мои ошибки :)
-
А можете подробнее написать какие настройки сделали раз разобрались? А то такоя проблема. тоже установил в обоих офисах pfsense последний и настроил по мануалу опенвпн, а в итоге соединение проходит, а пинг не идёт.
Вот в этой теме - http://forum.pfsense.org/index.php/topic,58517.0.html я все расписал как настроено и там же мне указали на мои ошибки :)
Я почитал там, но до конца так и не понял, если не сложно можете скопировать итоговые рабочие настройки или скрины, если несложно? ::)
-
Я уже снёс pfsense т.к. не удалось заставить клиента опенвпн работать на резервном канале. Сделал все ни чистом линуксе.
-
Я уже снёс pfsense т.к. не удалось заставить клиента опенвпн работать на резервном канале. Сделал все ни чистом линуксе.
Да мне резервный канал тоже понадобится.. А что у пфсенса какие-то проблемы с этим резервным каналом?
То есть сейчас всем управляете через консоль? Можете скинуть ссылки на мануалы, кот-е использовали? -
Ждите неделю, я подниму стенд. Что там такого сложного понять не могу. Я за 10 минут сделал с соседями в Красноярске OpenVPN site-to-site вот по этому мануалу: http://forum.pfsense.org/index.php?topic=48667.0. На стенде попробую натянуть OSPF для этого вашего резервирования. Тем более, что это гарантированно работает: http://forum.pfsense.org/index.php/topic,31482.msg162902.html#msg162902