Ошибка при создании OvenVpn тоннеля

m-gleb

Не могу разобраться, помогите…

Создаю Site-To-Site PKI. По инструкции http://blog.stefcho.eu/?p=611 Все проверил 1000 раз уже.
Соединение создается. С клиента  доступна локальная сеть сервера. А вот с сервера можно достучаться до vpn адреса pfsense клиентской сети и даже до его  локального  адреса.
Но другие компьютеры локальной сети клиента недоступны. В client overrides прописано iroute 192.168.1.0 255.255.255.0
И по-моему эта директива и приводит к ошибке при установлении vpn соединения.

Dec 3 14:07:09 openvpn[3467]: /sbin/ifconfig ovpnc2 192.168.200.2 192.168.200.1 mtu 1500 netmask 255.255.255.255 up
Dec 3 14:07:09 openvpn[3467]: /usr/local/sbin/ovpn-linkup ovpnc2 1500 1542 192.168.200.2 192.168.200.1 init
Dec 3 14:07:09 openvpn[3467]: ERROR: FreeBSD route add command failed: external program exited with error status: 1
Dec 3 14:07:09 openvpn[3467]: Initialization Sequence Completed

Как с этим побороться не понимаю. И не понимаю какая команда route не может быть выполнена. Подскажите, я вручную хотя бы попробую…

локальная сеть сервера 192.168.0.0
локальная сеть клиента 192.168.1.0
vpn тоннель 192.168.200.0
vpn сервер 192.168.200.1 192.168.0.1
vpn клиент 192.168.200.2 192.168.1.2

Роутинг на сервере :

Destination Gateway Flags Refs Use Mtu Netif Expire
default 80.70.227.1 UGS 0 8107585 1500 xl0
80.70.227.0/24 link#1 U 0 344917 1500 xl0
80.70.227.56 link#1 UHS 0 0 16384 lo0
127.0.0.1 link#6 UH 0 143 16384 lo0
192.168.0.0/24 link#2 U 0 10300323 1500 fxp0
192.168.0.1 link#2 UHS 0 0 16384 lo0
192.168.1.0/24 192.168.200.2 UGS 0 2404 1500 ovpns2
192.168.200.0/24 192.168.200.2 UGS 0 0 1500 ovpns2
192.168.200.1 link#8 UHS 0 0 16384 lo0
192.168.200.2 link#8 UH 0 29126 1500 ovpns2

Клиент к интернету подключен следующим образом:

4G модем воткнут в аппаратный роутер 192.168.10.1, а к нему подключен pfsense 192.168.10.2, 192.168.1.2

Роутинг на клиенте :

Destination Gateway Flags Refs Use Mtu Netif Expire
default 192.168.10.1 UGS 0 14896 1500 xl0
127.0.0.1 link#5 UH 0 35 16384 lo0
192.168.0.0/24 192.168.200.1 UGS 0 3447 1500 ovpnc2
192.168.1.0/24 link#1 U 0 9563 1500 rl0
192.168.1.2 link#1 UHS 0 0 16384 lo0
192.168.10.0/24 link#2 U 0 9785 1500 xl0
192.168.10.2 link#2 UHS 0 0 16384 lo0
192.168.200.1 link#7 UH 0 0 1500 ovpnc2 =>
192.168.200.1/32 192.168.200.1 UGS 0 0 1500 ovpnc2
192.168.200.2 link#7 UHS 0 0 16384 lo0

В fw ворде все разрешил, как указано в инструкции.

eshield

Насколько я понимаю, не прописался лишь маршрут. Сам коннект живой.  Пинги есть? Концы туннеля пингуются?

m-gleb

да , концы тоннеля пингуются в обе стороны. С клиента пингуется ЛС сервера полностью, с сервера пингуется только pfsense vpn client по vpn адресу 192.168.200.2  и по адресу ЛС 192.168.1.2

werter

Удалите настройки OpenVPN полностью с клиента и сервера и попробуйте настроить, если у вас всего один клиент, более простой вариант (Shared Key).

m-gleb

Не пойдет. Хочу потом извне с ноутбука подключаться через vpn к серверу и администрировать обе сети. Да и появление филиалов в дальнейшем планируется.

werter

Тогда пересоздайте теперешнее и на клиенте и на сервере. И пока не указывайте ничего во влкадке client overrides на сервере (я надеюсь , вы параметры указывали на сервере?)
Поднимется без ошибок - крутите client overrides. Нужно узнать на каком этапе и при каких настройках появляется ошибка.

m-gleb

К клиенту имею доступ по vpn. Там выход в и-нет через "серый" IP.  Так что там переустановить не могу. Удалил client overrides. Ошибка осталась… PfSense в клиентской сети стал доступен только по vpn адресу. Раньше и по локальному (192.168.1.2) пинговался... Похоже не в iroute дело. Эх, не хочется туда ехать, забирать роутер и везти в главный офис. Может отсюда удастся разобраться...

werter

Там выход в и-нет через "серый" IP

А эта серая подсеть не совпадает ни с одной вашей использующейся в опевпн?

eshield

@m-gleb:

да , концы тоннеля пингуются в обе стороны. С клиента пингуется ЛС сервера полностью, с сервера пингуется только pfsense vpn client по vpn адресу 192.168.200.2  и по адресу ЛС 192.168.1.2

А вы в FW на интерфейсе разрешили входящие? Маршрут на сервере в сторону клиентской сети есть, значит должно работать, т.е. клиентская лс должна пинговаться.

У меня был аналогичный прикол: забыл разрешить входящие и мучился с "проблемой" 30мин :) В итоге единое адр. пространство (L2 bridging) для N сетей в разных местах, красота! :)

m-gleb

Все, вопрос снят. Сам дурак… В FW то как раз все разрешено. А вот на клиентской стороне, на машине, которую я с сервера пинговал (ведь именно ее же и выбрал по закону подлости  :)) был шлюз не тот указан...