Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OpenVPN PSK: Site-to-Site инструкция для обсуждения

    Scheduled Pinned Locked Moved Russian
    180 Posts 32 Posters 102.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • R
      rubic
      last edited by

      1. В режиме PKI OpenVPN сервер может обслуживать несколько клиентов, т.е. как минимум сократится кол-во серверов. А вообще надо сначала определиться с топологией связей между площадками. Либо весь трафик между ними ходит через центральный офис (неполная связность - меньше работы по настройке), либо каждая должна быть связана с каждой (полная - больше). Зависит от ваших задач. Должны ли, например, филиалы иметь возможность общаться между собой, когда центральный офис в офлайне? Какие провайдерские сети лежат под туннелями и как они связаны? У вас вон, судя по скринам, оба филиала подключены к одному провайдеру. Стоит ли дублировать связь между ними, иными словами что вероятнее, что у этого провайдера аплинк упадет, или что внутренняя связность нарушится?

      2. Трассируйте не с pfSense первого филиала, а с машины из его локальной сети. Второй филиал знает только про 172.11(кстати, почему 11 а не 16?).11.0/24 и ничего не знает про 10.0.5.2. Соответственно, не знает куда слать ответы и шлет их на шлюз по умолчанию, т.е. провайдеру.

      3. Опять же в режиме PKI можно настройками на сервере передать клиенту нужные маршруты или даже завернуть весь трафик клиента через сервер.

      1 Reply Last reply Reply Quote 0
      • D
        dsm150
        last edited by

        1. Буду пробовать PKI. Связь нужна с центральным, возможность общаться между филиалами - приятная опция. В приведенных примерах тестовый вариант. Так сказать изучаю вопрос в боевых условиях. Вторые аплинки у филиалов и центра будут иными провайдерами или GSM.

        2. Так в том то и дело, что трассировка с компа в сети филиала 1 на комп в сети филиала 2 - сразу же уходит к провайдеру, в то время, как трассировка с этого же компа на ком в сети центрального офиса - идет до адресата правильно. С компа центрального офиса, трассировка до компов филиалов тоже идет без нареканий.
        По адресации - не совсем по rfc, понимаю. Но изменить пока возможности нет, но запланировано.

        И как филиал 2 должен узнать про туннель 10.0.5.0/24? В Вашей инструкции про это ничего не сказано. Как бы все само собой должно работать?

        3. Понял.

        1 Reply Last reply Reply Quote 0
        • R
          rubic
          last edited by

          @dsm150:

          Так в том то и дело, что трассировка с компа в сети филиала 1 на комп в сети филиала 2 - сразу же уходит к провайдеру, в то время, как трассировка с этого же компа на ком в сети центрального офиса - идет до адресата правильно. С компа центрального офиса, трассировка до компов филиалов тоже идет без нареканий.
          По адресации - не совсем по rfc, понимаю. Но изменить пока возможности нет, но запланировано.

          Из чего видно, что трассировка уходит к провайдеру? На pfSense 1-го филиала настроен какой-нибудь policy routing? Приведите скрин Firewall -> Rules -> LAN и Floating если в последнем что-то есть.

          1 Reply Last reply Reply Quote 0
          • D
            dsm150
            last edited by

            Во всех трех PFS идентичные правила. На центральном только нет failover.

            Каких то специальных правил не прописывал. Есть только портмаппинги по определенным портам, и все.

            1 Reply Last reply Reply Quote 0
            • R
              rubic
              last edited by

              Выше правила FAILOVER сделайте правило:

              • Lan Net * 172.11.10.0/24 * * none
              1 Reply Last reply Reply Quote 0
              • R
                rubic
                last edited by

                Во втором филиале тоже:

                • Lan Net * 172.11.11.0/24 * * none
                1 Reply Last reply Reply Quote 0
                • S
                  swch
                  last edited by

                  Спасибо за хорошую инструкцию.
                  Все сделал как в первой публикации и заработало, НО не все получилось.  Из филиала сеть главного офиса пингуется и полностью доступна, а из центрального офиса сеть филиала не видна. Пинг не идет даже до адреса 10.0.8.2 (виртуальный адрес филиала). Трейсроут доходит до pfsens-а главного офиса и теряется. Что это может быть? В какую сторону рыть?

                  1 Reply Last reply Reply Quote 0
                  • R
                    rubic
                    last edited by

                    @swch:

                    Спасибо за хорошую инструкцию.
                    Все сделал как в первой публикации и заработало, НО не все получилось.  Из филиала сеть главного офиса пингуется и полностью доступна, а из центрального офиса сеть филиала не видна. Пинг не идет даже до адреса 10.0.8.2 (виртуальный адрес филиала). Трейсроут доходит до pfsens-а главного офиса и теряется. Что это может быть? В какую сторону рыть?

                    Смотрите в сторону правил файервола на LAN центрального офиса. Простейший способ проверить, что дело в них - временно разрешить все.

                    1 Reply Last reply Reply Quote 0
                    • S
                      swch
                      last edited by

                      Так в том то и дело, что в ЛАНе практически все разрешено, кроме 80 порта. Что б люди ходили через прокси, а не через NAT. В таблице маршрутизации тоже криминала не вижу. Грешу на обновление до версии 2.1. Похоже надо перебивать сервак, а очень не хочется.

                      1 Reply Last reply Reply Quote 0
                      • werterW
                        werter
                        last edited by

                        2 swch

                        Покажите таблицу маршрутизации и что стоит на втором конце туннеля?

                        1 Reply Last reply Reply Quote 0
                        • S
                          swch
                          last edited by

                          Сегодня выяснилась странная ситуация. Оказывается сеть главного офиса доступна, просто пинг не ходит. Но правила блокирующего протокол ICMP я не создавал. Чертовщина какая-то!
                          Вопрос закрыт.

                          1 Reply Last reply Reply Quote 0
                          • X
                            xojic
                            last edited by

                            Попробуй прописать основной шлюз pfsense, на той тачке которую хочешь пингануть.

                            1 Reply Last reply Reply Quote 0
                            • P
                              pigbrother
                              last edited by

                              @rubic:

                              Пока объяснял уже сам все понял. Дела… Сегодня заставил наконец бегать OSPF по OpenVPN между работой и домашним микротиком. Полгода назад неделю на это убил безрезультатно. Пришлось править quagga_ospfd.inc

                              Спасибо за статью и ответы по теме.

                              В удаленном офисе появился появился микротик, хочется задействовать данную инструкцию, подключив микротик вместо pfsense в удаленном офисе (без OSPF)
                              Микротик будет находится за NAT.

                              Отсюда вопросы.

                              1.Достаточно ли будет задействовать на микротике open-vpn клиент?
                              2. Если да, то как сказать микротикe пускать в локальную сеть за собой?
                              3.Где указать микротику использовать Shared key?

                              1 Reply Last reply Reply Quote 0
                              • werterW
                                werter
                                last edited by

                                http://nix.khd.ru/?p=1373

                                http://nixman.info/?p=1379

                                Ну и http://wiki.mikrotik.com/wiki/OpenVPN

                                P.s. Все таки это не профильный форум Микротика. И да, учитесь использовать поиск.

                                1 Reply Last reply Reply Quote 0
                                • V
                                  vsop1
                                  last edited by

                                  Добрый день! При реализации данной схемы есть проблема. Пинг проходит только на LAN адреса. Т.е. есть две подсетки 192.168.28.0/24 и 192.168.1.0/24  между ними OpenVPN пинг проходит только на LAN адреса pfsense. На *28.15 из подсетки *1.0 и на *1.1 из подсетки *28.0. Установлен последний pfsense.

                                  1 Reply Last reply Reply Quote 0
                                  • werterW
                                    werter
                                    last edited by

                                    Директивы iroute , route .

                                    P.s. Покажите настройки клиента, сервера и правил fw (LAN, OpenVPN) на них же.

                                    1 Reply Last reply Reply Quote 0
                                    • V
                                      vsop1
                                      last edited by

                                      Прошу прощения за беспокойство. Сам накосячил - сам разобрался)

                                      1 Reply Last reply Reply Quote 0
                                      • N
                                        N3w4dm1n
                                        last edited by

                                        на главном сенсе поднял сервер опенвпн 10.8.0.0/24 ->192.168.1.0/24, на клиенте так же все соответственно прописал как в инструкции с preshared key. но вот достучаться до главного офиса не могу. зависает на процессе connect to server IP.

                                        надо ли в дополнительной конфиге прописывать правило хождения через сеть ван -> интернет -> главный офис?

                                        1 Reply Last reply Reply Quote 0
                                        • K
                                          KARLAGIN
                                          last edited by

                                          Еще одни грабельки вырисовались. Имеем сеть из главного офиса и 10 удаленных, настроен OpenVPN все работает. Но имеем IP телефонию. Аппараты из удаленных филиалов стучатся на главный сервер ip телефонии в офисе по порту 5060. 90 случаев из ста все проходит хорошо, но в 10 случаях аппараты подключаются к атс по непонятным портам из разряда 1040-1050. В чем может быть загвоздка, можно ли в данном случае прописать что при обращении к 5060 он жестко передавался на 5060?

                                          Google help you

                                          1 Reply Last reply Reply Quote 0
                                          • P
                                            pigbrother
                                            last edited by

                                            @N3w4dm1n:

                                            на главном сенсе поднял сервер опенвпн 10.8.0.0/24 ->192.168.1.0/24, на клиенте так же все соответственно прописал как в инструкции с preshared key. но вот достучаться до главного офиса не могу. зависает на процессе connect to server IP.
                                            надо ли в дополнительной конфиге прописывать правило хождения через сеть ван -> интернет -> главный офис?

                                            Для начала:
                                            Имеет ли сервер "белый" IP на WAN?
                                            Если да, есть ли на WAN правило вида
                                            TCP/UDP * * WAN address 1194 * none   OVPN servers incoming rule

                                            Где 1194 - порт, на который вы повесили OVPN-сервера
                                            TCP или UDP выбирать, исходя из настроек сервере

                                            НО:
                                            Если WAN Получает IP вида 192.х.х.х. 10.х.х.х 172.16.х.х подключение о стороны WAN к такому серверу невозможно (либо потребуется пробрасывать порт со стороны провайдера)

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.