OpenVPN через VLAN на виртуальном интерфейсе, не видl
-
Надо посмотреть таблицы роутинга на серверах. Маршруты на 192.168.0 и 192.168.2 идти через туннель.
ПС И попробуйте галки Compression и type-of-Service включить на OpenVPN сервере/клиенте.
-
Надо посмотреть таблицы роутинга на серверах. Маршруты на 192.168.0 и 192.168.2 идти через туннель.
ПС И попробуйте галки Compression и type-of-Service включить на OpenVPN сервере/клиенте.
Где это можно настроить? Я в роутах писал виртуальный интерфейс VPN как шлюз с ип 10.1.1.2, и в роутах статических ставил его по дефолту и писал в этом правиле ип 192.168.2.0/24. Не помогало…
И еще у меня сомнения что моя карточка нормально поддерживает vlan... Хотя тогда она по пппое не соединилась поидее. Потому как виртуальный интерфейс на котором висит PPPoE работает стабильно уже 3 дня... -
http://forum.pfsense.org/index.php/topic,52932.msg282962.html#msg282962
-
http://forum.pfsense.org/index.php/topic,52932.msg282962.html#msg282962
Хорошо, завтра буду на работе и скину все логи сюда )
Спасибо большое за проявленный интерес. -
Логи с сервера:
Feb 12 16:26:52 openvpn[10388]: OpenVPN 2.2.0 i386-portbld-freebsd8.1 [SSL] [LZO2] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Aug 11 2011 Feb 12 16:26:52 openvpn[10388]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts Feb 12 16:26:52 openvpn[10388]: TUN/TAP device /dev/tun1 opened Feb 12 16:26:52 openvpn[10388]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0 Feb 12 16:26:52 openvpn[10388]: /sbin/ifconfig ovpns1 10.0.8.1 10.0.8.2 mtu 1500 netmask 255.255.255.255 up Feb 12 16:26:52 openvpn[10388]: /usr/local/sbin/ovpn-linkup ovpns1 1500 1560 10.0.8.1 10.0.8.2 init Feb 12 16:26:52 openvpn[10388]: ERROR: FreeBSD route add command failed: external program exited with error status: 1 Feb 12 16:26:52 openvpn[11300]: UDPv4 link local (bound): [AF_INET]10.1.1.1:1194 Feb 12 16:26:52 openvpn[11300]: UDPv4 link remote: [undef] Feb 12 16:27:01 openvpn[11300]: Peer Connection Initiated with [AF_INET]10.1.1.2:46067 Feb 12 16:27:01 openvpn[11300]: Initialization Sequence CompletedЗапросы в адвансед:
route 192.168.2.0 255.255.255.0; push "route 10.1.1.0 255.255.255.255"; push "route 192.168.2.0 255.255.255.0";Настройка оверрайд на сервере:
Роутинги сервера:
Роутинги клиента:
На команду pull клиент реагирует неадекватно и не поднимает канал…
Когда пишешь просто роут на серве то появляется ошибка как в логах выше
Не понятно почему на сервере пишет remoute undef, хотя в статусе все норм и у клиента все прописано нормально... -
Наверное правила на OpenVPN интерфейсах не добавлены.
-
У вас сервер в режиме Shared Key. Никакие Client specific override в нем не действуют т.к. нет PKI и, соответственно нет у клиента Common Name. Не действуют также директивы push, судя по тестам.
В общем, убирайте все, что у вас есть в Advanced configuration, на сервере и на клиенте. Убирайте все Client specific override.
Ставьте Remote network на сервере 192.168.2.0/24, а на клиенте - 192.168.0.0/24
Local network оставьте пустым и там, и там.
Этого достаточно, ну не считая конечно, что в файерволе и сервера, и клиента на вкладке OpenVPN должно быть разрешено все всем. -
У вас сервер в режиме Shared Key. Никакие Client specific override в нем не действуют т.к. нет PKI и, соответственно нет у клиента Common Name. Не действуют также директивы push, судя по тестам.
В общем, убирайте все, что у вас есть в Advanced configuration, на сервере и на клиенте. Убирайте все Client specific override.
Ставьте Remote network на сервере 192.168.2.0/24, а на клиенте - 192.168.0.0/24
Local network оставьте пустым и там, и там.
Этого достаточно, ну не считая конечно, что в файерволе и сервера, и клиента на вкладке OpenVPN должно быть разрешено все всем.То есть обязательно сервак должен быть 192.168.2.0 а клиент 192.168.0.0? или можно например подсеть за серваком 192.168.1.0 а за клиентом 192.168.2.0?
Можно ли сделать физический адрес серва опенвпн 10.10.1.0/30 а клиента 10.10.2.0?
Ну у меня на вкладке опенвпн разрешено все по протоколу UDP а в интерфейсе ван и впн по протоколу UDP по порту openvpn -
@Bansardo:
У вас сервер в режиме Shared Key. Никакие Client specific override в нем не действуют т.к. нет PKI и, соответственно нет у клиента Common Name. Не действуют также директивы push, судя по тестам.
В общем, убирайте все, что у вас есть в Advanced configuration, на сервере и на клиенте. Убирайте все Client specific override.
Ставьте Remote network на сервере 192.168.2.0/24, а на клиенте - 192.168.0.0/24
Local network оставьте пустым и там, и там.
Этого достаточно, ну не считая конечно, что в файерволе и сервера, и клиента на вкладке OpenVPN должно быть разрешено все всем.То есть обязательно сервак должен быть 192.168.2.0 а клиент 192.168.0.0? или можно напримерподсеть за серваком 192.168.1.0 а за клиентом 192.168.2.0?
Можно ли сделать физический адрес серва опенвпн 10.10.1.0/30 а клиента 10.10.2.0?
Ну у меня на вкладке опенвпн разрешено всепо протоколу UDPа в интерфейсе ван и впн по протоколу UDP по порту openvpnПодсети можно и такие.
Адреса ВПН туннеля назначаются автоматом из одной подсети.
Правила -просто разрешите все для любого протокола. -
Подсети можно и такие.
Адреса ВПН туннеля назначаются автоматом из одной подсети.
Правила -просто разрешите все для любого протокола.У меня в ручную прописаны на интерфейсах… сам не захотел назначать. Писал как вкопанный undef на local и remote и все
-
Опа! Соединились, все пошло! Только как теперь инет разздать по каналу?
-
@Bansardo:
Опа! Соединились, все пошло! Только как теперь инет разздать по каналу?
В Interfaces -> (assign) клиента кнопкой "+" добавить новый интерфейс (выбрать ovpnс1), потом в Interfaces выбрать этот новый интерфейс (OPTn), установить галку в Enable interface, тип интерфейса оставить None и вообще ничего не трогать, только имя поменять например на OVPNС1. После этого в System -> Routing появится новый gateway: "Interface OVPNC1 Dynamic Gateway". Зайти в его свойства и поставить галку Default Gateway.
На сервере в Firewall -> NAT вкладка Outbound должно быть правило для 10.0.8.0/24 (сети туннеля) или, если стоит Automatic outbound NAT rule generation, то ничего не надо.
Пробуйте и отпишитесь, что вышло. -
rubic, Отдельное спасибо за помощь!
Пока что упала связь между подсетями, счас перегружу клиента, причем канал не упал, а именно маршруты как я понял между подсетями…
Интернета нет, но виртуальный интерфейс получил адрес сервера туннеля ) -
Упс! Тогда уберите Default Gateway c OVPNC1 а в Firewall -> Rules на вкладке LAN в правиле, которое пускает локальную сеть в интернет в Advanced features -> Gateway выберите OVPNC1.
-
Lan net? Добавил, пойду проверю
Нет интернета… -
@Bansardo:
Эт которое по портам 441 и 443?
Да нет. В общем отложим пока, надо тестировать, завтра-послезавтра займусь.
-
@Bansardo:
Эт которое по портам 441 и 443?
Да нет. В общем отложим пока, надо тестировать, завтра-послезавтра займусь.
Нету интернета… (
-
Слушай, а в интерфейсе WAN и моем виртуальном интерфейсе VPN (не openvpn) у меня такие правила прописаны, они нужны?
TCP/UDP * * * 1194 (OpenVPN) * none
и кстате, у меня прокси стоит и в настройках она смотрит на интерфейс лан и виртуальный VPN может тут чтото?Еще интересно полчему у серва андефайн стоит вместо ип клиента…
Feb 13 17:26:37 openvpn[37330]: OpenVPN 2.2.0 i386-portbld-freebsd8.1 [SSL] [LZO2] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Aug 11 2011
Feb 13 17:26:37 openvpn[37330]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
Feb 13 17:26:37 openvpn[37330]: TUN/TAP device /dev/tun1 opened
Feb 13 17:26:37 openvpn[37330]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Feb 13 17:26:37 openvpn[37330]: /sbin/ifconfig ovpns1 10.0.8.1 10.0.8.2 mtu 1500 netmask 255.255.255.255 up
Feb 13 17:26:37 openvpn[37330]: /usr/local/sbin/ovpn-linkup ovpns1 1500 1560 10.0.8.1 10.0.8.2 init
Feb 13 17:26:37 openvpn[38121]: UDPv4 link local (bound): [AF_INET]10.1.1.1:1194
Feb 13 17:26:37 openvpn[38121]: UDPv4 link remote: [undef]
Feb 13 17:26:37 openvpn[38121]: Peer Connection Initiated with [AF_INET]10.1.1.2:51552
Feb 13 17:26:38 openvpn[38121]: Initialization Sequence Completed -
Если туннель поднимается и сети видят друг-друга, правила лучше не трогать, прокси не при чем. Чтобы был интернет на клиенте через сервер, нужно подумать, но это не сегодня уже.
-
Если туннель поднимается и сети видят друг-друга, правила лучше не трогать, прокси не при чем. Чтобы был интернет на клиенте через сервер, нужно подумать, но это не сегодня уже.
Ок, спасибо!