Помогите настроить раутинг/НАТ на туннелn

warpil

Есть IPsec tunnel с маскированием всей локальной сети в публичный адрес.
Надо чтобы OpenVPN клиенты тоже маскировались в этот туннель и имели доступ к удаленной сети на другом конце IPsec … как это реализовать?

werter

@warpil:

Есть IPsec tunnel с маскированием всей локальной сети в публичный адрес.
Надо чтобы OpenVPN клиенты тоже маскировались в этот туннель и имели доступ к удаленной сети на другом конце IPsec … как это реализовать?

Прописыванием правил маршрутизации, фаерволла и NAT.
Схему сети в картинках и с адресами в студию. А то очень уж обще-туманно у Вас описано.

warpil

Сейчас нарисую :)

Нужно чтобы траффик от подключающегося OpenVPN клиента (он в другой, своей опнвпн подсети получает IP) при обращении на 10.5.5.0/24 упаковывался в НАТ за публичный адрес и передавался в туннель.

В опенвпн клиенте добавлена строчка - route 10.5.5.0/24.

Когда я подключаюсь клиентом и пытаюсь выйти на любой хост 10.5.5.1 - то пфсенс вместо того чтобы упаковать его в НАТ и послать в туннель - делает просто нат наружу.
Если запретить нат наружу для маршрута 192.168.15.0/24 (сеть опен впн) - то пакеты просто теряются.

werter

NAT - автоматом или вручную настроен на pfsense? Плюс обязательно включите логирование в fw, чтобы увидеть что и как блокируется.

1. Клиенты из сети 192.168.20.0/24 нормально видят машины в сети 10.5.5.0/24 ?
2. На обоих ли концах IPSec-туннеля pfsense ?

warpil

NAT - Автоматом, нет проблем включить ручной, если это заставит его работать :)

1. Видят, все работает замечательно.
2. Нет, слева pfSense, на второй - Cisco ASA 5510 - и второй половинкой я почти не могу управлять :)

Есть идея привязать опенвпн к адаптеру и для него сделать дополнительный туннель с другим ключом - но это не совсем элегантное решение, надо дергать хостера и объяснять ему что я хочу.
На 1 туннель 2 подсети повесить нельзя, я так понимаю.

Может как-то завернуть весь траффик с опенвпн внутрь пфсенса, зароутить его, потом нат и в туннель … но как это сделать - я не могу придумать :(

werter

1. Создать правило и поставить его самым первым(!) в fw во вкладке IPSес - всё,всем и отовсюду разрешено (временно, конечно).

2. В fw во вкладке OpenVPN проделать тоже самое.

3. На Cisco ASA 5510 разрешить доступ из сети 192.168.15.0/24 (опенвпн) в сеть 10.5.5.0/24 (проверить, не уверен!)

P.s. Вот похожая проблема и решение - http://forum.pfsense.org/index.php?topic=53501.0 :

You need to make sure you do three things:

1. Push a route to the remote IPsec subnet to the OpenVPN clients.
2. Add phase 2 entries to both ends of the IPsec tunnel that cover the OpenVPN clients
3. Make sure your OpenVPN and IPsec rules allow traffic between those subnets

P.s.s. Вот еще - http://forum.pfsense.org/index.php?topic=53767.0 :
а

You just need an additional Phase 2 entry on both ipSec site pointing to the OPenVPN network. So on your site it the local network will be the openVPN network and on the remote site the remote network will be your openvpn network.

Т.е. необходимо настроить Phase 2 на pfsense и на Cisco ASA 5510. Где на pfsense в local network указать openVPN network (192.168.15.0/24), а на Cisco ASA 5510 в remote network указать openVPN network (192.168.15.0/24). И про "Make sure your OpenVPN and IPsec rules allow traffic between those subnets" не забыть!

warpil

1. Делал, бесполезно.
2. Аналогично.

3. Нарисовать какое правило? Упаковывать траффик с опенвпн интерфейса и дестинейшеном 10.5.5.0 в паблик айпи ? … толку, этот НАТ (как я понял) срабатывает уже после туннеля, ему эти упакованные пакеты некуда потом совать.

4. На циско аса разрешить доступ из прайват сети нельзя. Не моя циска. Все что они разрешают - доступ из тоннеля, при этом пакеты туда попадают уже НАТнутые публичным айпи (есть такая опция).

2. Add phase 2 entries to both ends of the IPsec tunnel that cover the OpenVPN clients

Делал, нету кнопочки поднять тоннель. Т.е. типа - неверная конфигурация.

You just need an additional Phase 2 entry on both ipSec site pointing to the OPenVPN network. So on your site it the local network will be the openVPN network and on the remote site the remote network will be your openvpn network.

Т.е. мне нужно сделать еще одну криптомапу на циске с другим ключем, которая позволит коннектится уже клиентам опенвпна?

werter

Ссылки я Вам нашел. Даже две и с картинками. Долбите тех, кто рулит "кошкой". По-другому - никак.

P.s.

Yes, phase 2 entries must match on both (!!!) sides of a tunnel.

warpil

Так Phase 2 entries и совпадают. Первый тоннель же работает, в другой записи я только меняю сорс нетворк на сеть опенвпна.

werter

So on your site it the local network will be the openVPN network

Это на pfsense настраивается.

…. and on the remote site the remote network will be your openvpn network

А это - на Cisco ASA 5510.

P.s. Странно, я вроде понятно это описал выше да еще и с цитатами.

warpil

Вертер - оно то все понятно. Если бы еще и работало.
В общем, после перезагрузки машины - заработало все "само", как обычно =____=

Т.е. автоматический нат и т.п.
Добавленная 2nd entry для айписека с source network = openvpn network  + настройка в сервере опен впн - Allocate only one IP per client (topology subnet), rather than an isolated subnet per client (topology net30). + (возможно) - проассоциировал сервер опенвпн с OPT1  … в общем - теперь из опен впн можно попасть в туннель. Или из сети.

Т.е. 2 phase2 entry - не работают одновременно.
Запускаю первую - выключается вторая.  И наоборот :)