PFsense OpenVPN и 3 филиала

Unik

Пытаюсь настроить OpenVPN на pfsense, весь мозг сломал, никак не разберусь..  :(
Задача такая, что есть центральный офис и к нему нужно подключить 3 филиала по OpenVPN чтоб все видели друг друга, адресация во всех филиалах разная.
В центральном офисе я настроил опенвпн сервер site-to-site к нему подключил один офис, например как тут - http://fafadiatech.blogspot.ru/2012/09/openvpn-on-pfsense-site-to-site_1.html ну таких инструкций полно. Но никак не могу понять как подключить еще два филиала  ???

Пожалуйста подскажите хотя бы в каком направлении смотреть, может есть какой нибудь мануал?

stasjk

Могу ошибаться , скорее все тоже самое , только порт используется другой . И маршруты прописать.

dvserg

@stasjk:

Могу ошибаться , скорее все тоже самое , только порт используется другой . И маршруты прописать.

На вкладке Servers вроде можно добавлять серверы.

Unik

В смысле для каждого филиала поднять свой сервер? А клиенты будут видеть друг друга тогда?

stasjk

Да. пинг будет если пропишеш маршруты . Видеть будут если сеть будет шире не 0/24

Unik

@stasjk:

если сеть будет шире не 0/24

Не понял этот момент, можно подробнее?

stasjk

Когда VPN  будет  и нарисуеш  маршруты ты сможешь заходить на ПК если ты знаеш IP  или  по имени "в DNS должна быть информация".
Для того что бы в сетевом окружении были видны все ПК , нужно 255.255.0.0 . Будет загружать канал  широковещательными пакетами , что не очень хорошо.

dvserg

@Unik:

@stasjk:

если сеть будет шире не 0/24

Не понял этот момент, можно подробнее?

Я Вам ссылку в приват на сайт шоп.найтивписи.ru отправил, там довольно хорошо про OpenVPN написано.
Если купите официально книгу - авторы будут благодарны.

dvserg

@stasjk:

Когда VPN  будет  и нарисуеш  маршруты ты сможешь заходить на ПК если ты знаеш IP  или  по имени "в DNS должна быть информация".
Для того что бы в сетевом окружении были видны все ПК , нужно 255.255.0.0 . Будет загружать канал  широковещательными пакетами , что не очень хорошо.

В Client Specific Override есть много интересных опций и про DNS и про NetBIOS

gr0mW

Я соединял несколько офисов следующим образом.
В настройках сервера Tunnel Network 10.Х.Х.0/28. В OpenVPN: Client Specific Override–--Client Settings -- Advanced одному клиенту прописал ifconfig-push 10.Х.Х.5 10.Х.Х.6, второму клиенту ifconfig-push 10.Х.Х.7 10.Х.Х.8 и т.д.(пример). То есть все клиенты подключаються к одному серверу OpenVPN  с постоянными IP туннелей. Маска подсети и адреса зависит от количества клиентов.
Ну а дальше iroute и push "route......." настраивайте

Посмотрите http://openvpn.net/index.php/open-source/documentation/howto.html#policy
и http://www.sergeysl.ru/freebsd-openvpn-client-static-ip/

Unik

Всем спасибо, разобрался, связь с центр. офисом есть. Теперь проблема в другом… настроил резервирование каналов, на резервный канал переходит отлично но на резервном канале не поднимается опенвпн. На клиенте в Advanced прописал:
remote BB.BB.BB.BB
keepalive 10 60

и вот если на клиенте отключить основной канал он переходит на резервный но к центральному офису не подключается. Что может быть?

intronet

@Unik:

Всем спасибо, разобрался, связь с центр. офисом есть. Теперь проблема в другом… настроил резервирование каналов, на резервный канал переходит отлично но на резервном канале не поднимается опенвпн. На клиенте в Advanced прописал:
remote BB.BB.BB.BB
keepalive 10 60

и вот если на клиенте отключить основной канал он переходит на резервный но к центральному офису не подключается. Что может быть?

Посмотрите что пишет в логах

Unik

Вот такое в логах когда отключаю в филиале(на клиенте) основной канал и переходит на резервный. Такое впечатление что где то не переключается на резервный шлюз и поэтому считает что адрес не доступен. Куда смотреть?

Feb 4 18:39:58 	openvpn[23884]: [office] Inactivity timeout (--ping-restart), restarting
Feb 4 18:39:58 	openvpn[23884]: SIGUSR1[soft,ping-restart] received, process restarting
Feb 4 18:40:03 	openvpn[23884]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Feb 4 18:40:03 	openvpn[23884]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Feb 4 18:40:03 	openvpn[23884]: Re-using SSL/TLS context
Feb 4 18:40:03 	openvpn[23884]: Attempting to establish TCP connection with [AF_INET]AA.AA.AA.AA:1194 [nonblock]
Feb 4 18:40:13 	openvpn[23884]: TCP: connect to [AF_INET]AA.AA.AA.AA:1194 failed, will try again in 5 seconds: Operation timed out
Feb 4 18:40:13 	openvpn[23884]: SIGUSR1[soft,init_instance] received, process restarting
Feb 4 18:40:18 	openvpn[23884]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Feb 4 18:40:18 	openvpn[23884]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Feb 4 18:40:18 	openvpn[23884]: Re-using SSL/TLS context
Feb 4 18:40:18 	openvpn[23884]: TCP/UDP: Socket bind failed on local address [AF_INET]BB.BB.BB.BB: Can't assign requested address
Feb 4 18:40:18 	openvpn[23884]: Exiting
Feb 4 18:40:18 	openvpn[23884]: /usr/local/sbin/ovpn-linkdown ovpnc1 1500 1543 10.16.0.5 10.16.0.1 init

где AA.AA.AA.AA - адрес центрального сервера
BB.BB.BB.BB - адрес этого клиента

Резервирование настраивал как описано тут - http://shop.nativepc.ru/content/78-pfsense-2-cookbook-6

Unik

Похоже клиенты не поддерживают резервирование, решение нашел тут - http://forum.pfsense.org/index.php?topic=32603.0

vibperson

@Unik:

Пытаюсь настроить OpenVPN на pfsense, весь мозг сломал, никак не разберусь..  :(
Задача такая, что есть центральный офис и к нему нужно подключить 3 филиала по OpenVPN чтоб все видели друг друга, адресация во всех филиалах разная.
В центральном офисе я настроил опенвпн сервер site-to-site к нему подключил один офис, например как тут - http://fafadiatech.blogspot.ru/2012/09/openvpn-on-pfsense-site-to-site_1.html ну таких инструкций полно. Но никак не могу понять как подключить еще два филиала  ???

Пожалуйста подскажите хотя бы в каком направлении смотреть, может есть какой нибудь мануал?

А можете подробнее написать какие настройки сделали раз разобрались? А то такоя проблема. тоже установил в обоих офисах pfsense последний и настроил по мануалу опенвпн, а в итоге соединение проходит, а пинг не идёт.

Unik

@vibperson:

А можете подробнее написать какие настройки сделали раз разобрались? А то такоя проблема. тоже установил в обоих офисах pfsense последний и настроил по мануалу опенвпн, а в итоге соединение проходит, а пинг не идёт.

Вот в этой теме - http://forum.pfsense.org/index.php/topic,58517.0.html я все расписал как настроено и там же мне указали на мои ошибки :)

vibperson

@Unik:

@vibperson:

А можете подробнее написать какие настройки сделали раз разобрались? А то такоя проблема. тоже установил в обоих офисах pfsense последний и настроил по мануалу опенвпн, а в итоге соединение проходит, а пинг не идёт.

Вот в этой теме - http://forum.pfsense.org/index.php/topic,58517.0.html я все расписал как настроено и там же мне указали на мои ошибки :)

Я почитал там, но до конца так и не понял, если не сложно можете скопировать итоговые рабочие настройки или скрины, если несложно?  ::)

Unik

Я уже снёс pfsense т.к. не удалось заставить клиента опенвпн работать на резервном канале. Сделал все ни чистом линуксе.

vibperson

@Unik:

Я уже снёс pfsense т.к. не удалось заставить клиента опенвпн работать на резервном канале. Сделал все ни чистом линуксе.

Да мне резервный канал тоже понадобится.. А что у пфсенса какие-то проблемы с этим резервным каналом?
То есть сейчас всем управляете через консоль? Можете скинуть ссылки на мануалы, кот-е использовали?

rubic

Ждите неделю, я подниму стенд. Что там такого сложного понять не могу. Я за 10 минут сделал с соседями в Красноярске OpenVPN site-to-site вот по этому мануалу: http://forum.pfsense.org/index.php?topic=48667.0. На стенде попробую натянуть OSPF для этого вашего резервирования. Тем более, что это гарантированно работает: http://forum.pfsense.org/index.php/topic,31482.msg162902.html#msg162902