OpenVPN PKI: Site-to-Site инструкция для обсуждения
-
Попытался выполнить всё по писанному - не выходит. Конектится, но виртуальный адрес не получает и соответственно никакие адреса удаленной локальной сети не доступны.
В книге по pfSense пишутПрежде всего убедитесь, что DHCP работает только на основном интерфейсе (с IP адресом), а не на одном из подключаемых в мост.
в инструкции по созданию моста пишут, что нужно создать ОРТ(DHCP) интерфейс который объединить в мост с Lan'ом. Какие-то сплошные противоречия…
Вот еще нашел в тексте книги по pfSense9.5.2.3.3. Отключение моста при начальной загрузке
Вам потребуется добавить в конфигурацию команду которая позволит отключать мост при первоначальной загрузке. Это предотвратит появление петли уровня 2, а мост будет поднят на мастере CARP с помощью скрипта bridgecheck.sh через минуту после загрузки. Над строкой , необходимо добавить следующую строку: <shellcmd>/sbin/ifconfig bridge0 down</shellcmd> Сохраните изменения конфигурационных файлов. Теперь восстановите изменённую конфигурацию на первичном и резервном брандмауэре. Брандмауэры должены перезагрузиться после восстановления конфигурации и нормально работать.Это нужно делать или нет? В мануале об этом речь не велась…
-
Появилось свободное время - вновь вернулся к мосту.
Удалось настроить подключение филиала к главному офису, но компы не видятся ни из офиса ни из филиала. Ip-адрес клиент получает по DHCP в заданном диапазоне. Подскажите в чем может быть проблема? В логи смотрел - вроде всё путём.
В Advanced нужно что нибудь прописывать? -
В Advanced нужно что нибудь прописывать?
А как по-другому сервер узнает маршрут до клиента. Или как сеть за сервером\клиентом узнают о существование друг друга ? Ну и плюс правила fw не забудьте.
-
В Advanced нужно что нибудь прописывать?
А как по-другому сервер узнает маршрут до клиента. Или как сеть за сервером\клиентом узнают о существование друг друга ? Ну и плюс правила fw не забудьте.
Заработало! Ура! :o
-
Ага, вот только пришлось для диапазона адресов удаленных клиентов и для всех хостов в локальной сети, к которым они должны обращаться, сделать разрешающие правила во вкладке LAN. Даже 1С работает. Офигеть :D
Спасибо :) -
Хм…Ранее предполагалось , если удаленные клиенты имеют отношение к интерфейсу OpenVPN , то и правила fw для доступа этих клиентов ко внутренней сети (за сервером) необходимо создавать на OpenVPN-интерфейсе. Или что-то в 2.1 поменялось?
Покажите, пож-та, скринами правила вашего fw на LAN и OpenVPN.
Заранее благодарен. -
Как побороть такую штуку
OpenVPN ROUTE: failed to parse/resolve route for host/network: 192.168.0.0если выставляешь "topology subnet" на vpn-сервере?
-
Хм…Ранее предполагалось , если удаленные клиенты имеют отношение к интерфейсу OpenVPN , то и правила fw для доступа этих клиентов ко внутренней сети (за сервером) необходимо создавать на OpenVPN-интерфейсе. Или что-то в 2.1 поменялось?
Покажите, пож-та, скринами правила вашего fw на LAN и OpenVPN.
Заранее благодарен.У меня 2.0.3.
Первое правило lan, второе для OpenVPN и такое-же для Brigde (создал на всякий случай)
Адреса клиентов, подключаемых через vpn в Host, если их оттуда убрать, то 1С не открывается.
-
Bridge всё-таки странно себя как-то ведет, т.е. со стороны клиента всё шикарно, назначенный адрес и даже имя распознается (той же самой 1С), однако с сервера клиента не видно. В логах брандмауэра никаких сообщений о блокировке данного адреса и в системных логах всё спокойно…
Для нужд, тех которых это все делалось всё нормально, но пытливый ум не дает покоя "Как сделать так, что-бы все работало и в обратную сторону?" :) -
Вопрос в том, что является шлюзом по обе стороны моста?
-
2 Jetberry
Последнее разрешающее правило на LAN - избыточно указаны протоколы для большинства разрешенных Вами портов (надо только TCP). Далее - что включает в себя алиас Hosts? Если этот алиас включает в себя хосты локальной сети , то зачем тогда разрешающее правило ниже?
P.s. Мой вам совет - не уверены в правильности написания правил fw - создавайте (временно) одно - разрешено всё всем и куда угодно. Включайте на нем логирование и смотрите что открывать. Иначе не поймете почему что-то не работает.
-
2 werter
В Host прописаны адреса локальной сети, которые ходят в инет на прямую, минуя squid. Туда же добавил адреса, которые назначаются по DHCP клиентам vpn -
2 Jetberry
P.s. Мой вам совет - не уверены в правильности написания правил fw - создавайте (временно) одно - разрешено всё всем и куда угодно. Включайте на нем логирование и смотрите что открывать. Иначе не поймете почему что-то не работает.Да вот то-то и оно, что есть там правило разрешающее, которое на скрине в неактивном режиме, и когда включаю его отключая остальные, то ничегошеньки не меняется.
-
Вопрос в том, что является шлюзом по обе стороны моста?
Можно перефразировать вопрос, пожалуйста? :)
-
вот правила для wan. черным замазаны адреса и порты.
1194 - это мы клиенты vpn
1195 - это vpn (tun), оставил на всякий случай.
1196 - это vpn (tap), тот самый злополучный мост.
-
В Host прописаны адреса локальной сети, которые ходят в инет на прямую, минуя squid
Хмм, а я думал что эти адреса указваются совсем в другом месте - в настройках самого сквида. Даже могу подсказать где - Proxy server: General settings:Bypass proxy for these source IPs . И через точку с запятой указываете адреса (или целые подсети)
Туда же добавил адреса, которые назначаются по DHCP клиентам vpn
Вопрос - эти впн-клиенты получают адреса из LAN-диапазона, поднимая сессию ? Если нет - опять неправильно.
Ибо для работы через сквид эти адреса (если они не входят в диапазон LAN) необходимо указывать в Proxy server: Access control: Allowed subnets и только потом их же в Proxy server: General settings:Bypass proxy for these source IPs -
В Host прописаны адреса локальной сети, которые ходят в инет на прямую, минуя squid
Хмм, а я думал что эти адреса указваются совсем в другом месте - в настройках самого сквида. Даже могу подсказать где - Proxy server: General settings:Bypass proxy for these source IPs . И через точку с запятой указываете адреса (или целые подсети)
Так что это правило уже неверно и толку от него - никакого.
там они тоже прописаны. пришлось дополнительное это правило создать, т.к. через 3-4 дня стабильной работы, у этих важных адресов пропадает интернет, хз почему и приходилось перегружать pfsense. также сам squidguard при долгой работе начинает пропускать через ie соц.сети, причем гугл и мозила нормально блокируются (но это уже отдельная тема)…
Да, из Lan диапазона
-
вот правила для wan. черным замазаны адреса и порты.
Снова вопрос - у вас какие-то сервисы пробрасываются в локалку извне? Потому как не вижу в описание "замазанных" правил на WAN слова "NAT". Или вы описания в правилах удалили ? Или же это вы открыли доступ к сервисам самого pfsense (SSH, web-интерфейс etc) ? Поясните этот момент, пож-та.
-
вот правила для wan. черным замазаны адреса и порты.
Снова вопрос - у вас какие-то сервисы пробрасываются в локалку извне? Потому как не вижу в описание "замазанных" правил на WAN слова "NAT". Или вы описания в правилах удалили ? Или же это вы открыли доступ к сервисам самого pfsense (SSH, web-интерфейс etc) ? Поясните этот момент, пож-та.
Это три устройства сторонних организаций, которые расположены на нашей территории и пользуются нашим интернетом, причем когда я пришел в данную контору они уже стояли и правила уже были созданы.
А последнее это Глонас - без этого правила он не корректно работает, т.е. не обновляется информация о перемещения автотранспорта, в логах fw пошарил и создал это правило, теперь всё работает как нужно.
В NATе ничего не менял, там ничего и нет. Outbound стоит Automatic -
