PFsense OpenVPN и 3 филиала
-
Всем спасибо, разобрался, связь с центр. офисом есть. Теперь проблема в другом… настроил резервирование каналов, на резервный канал переходит отлично но на резервном канале не поднимается опенвпн. На клиенте в Advanced прописал:
remote BB.BB.BB.BB
keepalive 10 60и вот если на клиенте отключить основной канал он переходит на резервный но к центральному офису не подключается. Что может быть?
-
Всем спасибо, разобрался, связь с центр. офисом есть. Теперь проблема в другом… настроил резервирование каналов, на резервный канал переходит отлично но на резервном канале не поднимается опенвпн. На клиенте в Advanced прописал:
remote BB.BB.BB.BB
keepalive 10 60и вот если на клиенте отключить основной канал он переходит на резервный но к центральному офису не подключается. Что может быть?
Посмотрите что пишет в логах
-
Вот такое в логах когда отключаю в филиале(на клиенте) основной канал и переходит на резервный. Такое впечатление что где то не переключается на резервный шлюз и поэтому считает что адрес не доступен. Куда смотреть?
Feb 4 18:39:58 openvpn[23884]: [office] Inactivity timeout (--ping-restart), restarting Feb 4 18:39:58 openvpn[23884]: SIGUSR1[soft,ping-restart] received, process restarting Feb 4 18:40:03 openvpn[23884]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info. Feb 4 18:40:03 openvpn[23884]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts Feb 4 18:40:03 openvpn[23884]: Re-using SSL/TLS context Feb 4 18:40:03 openvpn[23884]: Attempting to establish TCP connection with [AF_INET]AA.AA.AA.AA:1194 [nonblock] Feb 4 18:40:13 openvpn[23884]: TCP: connect to [AF_INET]AA.AA.AA.AA:1194 failed, will try again in 5 seconds: Operation timed out Feb 4 18:40:13 openvpn[23884]: SIGUSR1[soft,init_instance] received, process restarting Feb 4 18:40:18 openvpn[23884]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info. Feb 4 18:40:18 openvpn[23884]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts Feb 4 18:40:18 openvpn[23884]: Re-using SSL/TLS context Feb 4 18:40:18 openvpn[23884]: TCP/UDP: Socket bind failed on local address [AF_INET]BB.BB.BB.BB: Can't assign requested address Feb 4 18:40:18 openvpn[23884]: Exiting Feb 4 18:40:18 openvpn[23884]: /usr/local/sbin/ovpn-linkdown ovpnc1 1500 1543 10.16.0.5 10.16.0.1 initгде AA.AA.AA.AA - адрес центрального сервера
BB.BB.BB.BB - адрес этого клиентаРезервирование настраивал как описано тут - http://shop.nativepc.ru/content/78-pfsense-2-cookbook-6
-
Похоже клиенты не поддерживают резервирование, решение нашел тут - http://forum.pfsense.org/index.php?topic=32603.0
-
Пытаюсь настроить OpenVPN на pfsense, весь мозг сломал, никак не разберусь.. :(
Задача такая, что есть центральный офис и к нему нужно подключить 3 филиала по OpenVPN чтоб все видели друг друга, адресация во всех филиалах разная.
В центральном офисе я настроил опенвпн сервер site-to-site к нему подключил один офис, например как тут - http://fafadiatech.blogspot.ru/2012/09/openvpn-on-pfsense-site-to-site_1.html ну таких инструкций полно. Но никак не могу понять как подключить еще два филиала ???Пожалуйста подскажите хотя бы в каком направлении смотреть, может есть какой нибудь мануал?
А можете подробнее написать какие настройки сделали раз разобрались? А то такоя проблема. тоже установил в обоих офисах pfsense последний и настроил по мануалу опенвпн, а в итоге соединение проходит, а пинг не идёт.
-
А можете подробнее написать какие настройки сделали раз разобрались? А то такоя проблема. тоже установил в обоих офисах pfsense последний и настроил по мануалу опенвпн, а в итоге соединение проходит, а пинг не идёт.
Вот в этой теме - http://forum.pfsense.org/index.php/topic,58517.0.html я все расписал как настроено и там же мне указали на мои ошибки :)
-
А можете подробнее написать какие настройки сделали раз разобрались? А то такоя проблема. тоже установил в обоих офисах pfsense последний и настроил по мануалу опенвпн, а в итоге соединение проходит, а пинг не идёт.
Вот в этой теме - http://forum.pfsense.org/index.php/topic,58517.0.html я все расписал как настроено и там же мне указали на мои ошибки :)
Я почитал там, но до конца так и не понял, если не сложно можете скопировать итоговые рабочие настройки или скрины, если несложно? ::)
-
Я уже снёс pfsense т.к. не удалось заставить клиента опенвпн работать на резервном канале. Сделал все ни чистом линуксе.
-
Я уже снёс pfsense т.к. не удалось заставить клиента опенвпн работать на резервном канале. Сделал все ни чистом линуксе.
Да мне резервный канал тоже понадобится.. А что у пфсенса какие-то проблемы с этим резервным каналом?
То есть сейчас всем управляете через консоль? Можете скинуть ссылки на мануалы, кот-е использовали? -
Ждите неделю, я подниму стенд. Что там такого сложного понять не могу. Я за 10 минут сделал с соседями в Красноярске OpenVPN site-to-site вот по этому мануалу: http://forum.pfsense.org/index.php?topic=48667.0. На стенде попробую натянуть OSPF для этого вашего резервирования. Тем более, что это гарантированно работает: http://forum.pfsense.org/index.php/topic,31482.msg162902.html#msg162902
-
Ждите неделю, я подниму стенд. Что там такого сложного понять не могу. Я за 10 минут сделал с соседями в Красноярске OpenVPN site-to-site вот по этому мануалу: http://forum.pfsense.org/index.php?topic=48667.0. На стенде попробую натянуть OSPF для этого вашего резервирования. Тем более, что это гарантированно работает: http://forum.pfsense.org/index.php/topic,31482.msg162902.html#msg162902
Спасибо. Буду ждать, главное конфиги напишите или скрины если можно, был бы отличный мануал.
-
Доброго времени суток, уважаемые.
Прошу помощи, разобраться в проблеме.
Вобщем, между домом и офисом поднят OVPN. Сервером служит шлюз PFSense, клиентом - сервер на Ubuntu Server.
Туннель поднял, компы по туннелю общаются замечательно, но вот возникла ситуация, необходимо организовать проброс портов, из интернета к клиенту OVPN через шлюз.хочу сразу уточнить, проброс портов в сеть за шлюзом (PFSense) работает отлично, а вот проброс портов в туннель, не хочет работать.
приведу схемку (красная стрелка показывает путь прохождения запроса/пакета):
Спасибо за помощь.
-
В аттачменте путь ответных пакетов от Ubuntu сервера. Не удивительно, что хост 85.150.xxx.yyy их не принимает, т.к. ждет ответа от pfSense, а не от Router
-
Надеюсь, проблему понял.
Тогда подскажите пожалуйста, как это справить?
Заставит сервер (куда перенаправляю порт) идти в интернет через туннель? -
Надеюсь, проблему понял.
Тогда подскажите пожалуйста, как это справить?
Заставит сервер (куда перенаправляю порт) идти в интернет через туннель?Модифицируйте входящие пакеты NATом, чтобы пакеты на внутренний сервер приходили с локального устройства.
-
Либо как вариант назначть на Ubuntu сервере два маршрута в сеть 0.0.0.0/0 (т.е. дефолтных). Один через Router с метрикой побольше, другой - через туннель с метрикой поменьше.
-
Надеюсь, проблему понял.
Тогда подскажите пожалуйста, как это справить?
Заставит сервер (куда перенаправляю порт) идти в интернет через туннель?Модифицируйте входящие пакеты NATом, чтобы пакеты на внутренний сервер приходили с локального устройства.
не подскажите, каким образом в pfSense можно сделать подобную модификацию?
Либо как вариант назначть на Ubuntu сервере два маршрута в сеть 0.0.0.0/0 (т.е. дефолтных). Один через Router с метрикой побольше, другой - через туннель с метрикой поменьше.
к сожалению, данный вариант не помог, лишь, если только оставить один дефалтовый маршрут, через pfsense, но это не вариант, слишком большая нагрузка на,и без того, слабый туннель.
-
Надеюсь, проблему понял.
Тогда подскажите пожалуйста, как это справить?
Заставит сервер (куда перенаправляю порт) идти в интернет через туннель?Модифицируйте входящие пакеты NATом, чтобы пакеты на внутренний сервер приходили с локального устройства.
не подскажите, каким образом в pfSense можно сделать подобную модификацию?
Думаю на OVPN интерфейсе pfSense можно создать NAT правило, где в DST указать IP/Port и тип протокола внутреннего сервера. В этом случае пакеты на сервер будут идти от имени OVPN интерфейса и соотв. отправляться обратно ему-же.