Site to Site OpenVPN Briging + roadwarrior vpn routing.
-
Доброго времени суток!
Имеется территориально разделенная на 2 сегмента сеть (192.168.100.0/24 ). В качестве шлюзов используется pfsense 2.1, в котором сделан мост поверх openvpn. Все работает: пинги идут, сетевое обнаружение работает…
(LAN1 192.168.100.0/24 ) <=
=> [ PF1 (Lan:192.168.100.254;) ] <=site-to-site ovpn (tap) => [PF2 (Lan:192.168.100.1)] <=
=> (LAN2 192.168.100.0/24)Понадобилось организовать доступ к сети удаленных пользователей. Через мастера в pfsense создал openvpn соединение, но пользователь имеет доступ только к тому сегменту, к которому он подключился… В сети нарыл инструкцию по аналогичной проблеме в случае когда используется "обычный" openvpn (tun) (http://blog.stefcho.eu/?p=733).
Но т.к. у меня одна и та же сеть то не понятно как правильно прописать маршруты для того чтобы были доступны оба сегмента?
User1<==> PF2 <=> LAN2
User1<==> PF2 X LAN1
или же
User1<==> PF1 <=> LAN1
User1<==> PF1 X LAN2С уважением.
P.S. написал сильно сумбурно, если нужны какие доп. сведения спрашивайте...
-
[PF2 (Lan:192.168.[b]100.1)] <=
=> (LAN2 192.168.0/24)Как это?! Не вижу сегментации.
Понадобилось организовать доступ к сети удаленных пользователей.
Какие адреса при этом вы выдаете клиентам? Какой тип подключения - tun \ tap ?
Вобщем рисуйте нормальную схему. Описано и правда более чем сумбурно.
P.s. Правильно заданный вопрос - 50% ответа.
-
[PF2 (Lan:192.168.[b]100.1)] <=
=> (LAN2 192.168.0/24)Как это?! Не вижу сегментации.
действительно, моя ошибка должно быть (LAN2 192.168.100.0/24).
При подключении клиентов: протокол tun, сеть 192.168.200.0/24.
см. screenshot:
.
Настройки сервера:
в поле Advanced пусто…вот изобразил схему в графике...
С уважением.
-
[ PF1 (Lan:192.168.[b]100.254;)
[PF2 (Lan:192.168.[b]100.1)]
(LAN2 192.168.100.0/24)Имхо
Подсети должны быть разные. -
Солидарен с dr.gopher.
Или меняйте адресацию на другую подсеть на одном из концов туннеля или сегментируйте 100-ую сеть.
-
Спасибо.
Правда до pfsense на машинах стоял zeroshell, так там при создании аналогичной конфигурации все работало и без разбиения… Надо было посмотреть конфигурацию :( .
С уважением.