LAN клиенты за pfSense с OpenVPN-клиентом

saritikon

Кстати, все делал по первому туториалу с хабра)
http://habrahabr.ru/post/197744/

werter

С него пингую 10.8.0.2, но не пингую сервер 10.8.0.1 а очень хочется)

А причем тут ?!

добавил push "route 192.168.1.0 255.255.255.0" в конфиг сервера openvpn, сервис перезапустил, на клиентском pfsense сервис переподключился,

Может все таки :

В конфигурационном файле сервера - push "route 10.8.0.0 255.255.255.0" и перезапустить службу OpenVPN

Будьте внимательнее, п-та.

werter

Вот вам ответ :

https://community.openvpn.net/openvpn/wiki/NatOverWindows2008

saritikon

пардон - сначала напутал но потом заметил и исправил на

push "route 10.8.0.0 255.255.255.0"
нет эффекта.

saritikon

@werter:

Вот вам ответ :

https://community.openvpn.net/openvpn/wiki/NatOverWindows2008

может все-таки научить openvpn или pfsense о том что за openvpn клиентом есть сетка?

сейчас пробую такой вариант, с директорией ccd
http://www.linux.org.ru/forum/admin/4125931

werter

Вы определитесь - за сервром или за клиентом вам сетка нужна.
Из первого поста следует , что вам нужен доступ к серверу опенвпн.

saritikon

@werter:

Вы определитесь - за сервром или за клиентом вам сетка нужна.
Из первого поста следует , что вам нужен доступ к серверу опенвпн.

Совершенно верно, нужна сетка за клиентом. Чтобы LAN клиент мог пинговать OpenVPN сервер. Не помешало бы чтобы сервер тоже пинговал клиентов за pfsense, чтобы принтеры удобно было подключать. Уже незнаю что еще пробовать.

Дело в том, что пару лет назад делал тот же конфиг и спустя сутки ковыряний все завелось. Был старее pfSense и OpenVPN. Обошлось без поднимания маршрутизации на виндовой тачке. Может все-таки на pfSense прописать какой-то маршрут?

werter

Совершенно верно, нужна сетка за клиентом. Чтобы LAN клиент мог пинговать OpenVPN сервер

Неверно понимаете работу Опенвпн и маршрутизации в целом . Вам нужно чтобы клиенты за пфсенсом-клиентом знали как добраться до сервера опенвпн?
Для этого на Опенвпн-сервере и вводиться в конфиге директива push "route 10.8.0.0 255.255.255.0".

Не помешало бы чтобы сервер тоже пинговал клиентов за pfsense, чтобы принтеры удобно было подключать

Это уже совсем другая "песня". Для этого на серервере используется директива iroute и\или (неуверен, т.к. с Опенвпн-сервером, работающем на Win не работал) работа с конфигами клиентов в той самой папке ccd

Далее , если вам нужны принтеры , то использовать прийдется tap-адаптер в туннеле (вместо tun). Ибо это NETBIOS.

P.s. Честно ? Я уже "занянчился" объяснять то, что сами можете найти погуглив. И да, разберитесь сперва хотя бы с одной "хотелкой". Тем более что как настраивать Вин-сервер - прямую ссылку я дал.

P.p.s. У вас клиенты за пфсенсом в кач-ве шлюза какой адрес имеют?

saritikon

Здравстуйте!
Успешно поднял сервер, требуемая схема заработала. Большое спасибо за вашу помощь!
Только не получается завести это дело в режиме tap  :( А нужны принтеры и расшаренные общие папки

конфиг сервера в режиме tun (windows 2008):

port 1194
proto udp
#proto tcp

dev tun
#dev tap

#Пути до ключей
ca ca.crt
cert server.crt
key server.key  # This file should be kept secret
dh dh1024.pem

server 10.8.0.0 255.255.255.0
tun-mtu 1450

Если нужно, что бы клиентам выдавался один и тот же адрес при

client-config-dir ccd
route 192.168.1.0 255.255.255.0
route 192.168.3.0 255.255.255.0
client-to-client

keepalive 10 120

comp-lzo
max-clients 100
user nobody
group nobody

persist-key
persist-tun

status openvpn-status.log
log        openvpn.log
verb 5

После того как меняю dev tun на dev tap в логах сервера появляется:

Mon Feb 03 11:31:39 2014 us=188476 OpenVPN ROUTE: OpenVPN needs a gateway parameter for a –route option and no default was specified by either --route-gateway or --ifconfig options
Mon Feb 03 11:31:39 2014 us=188476 OpenVPN ROUTE: failed to parse/resolve route for host/network: 192.168.1.0
Mon Feb 03 11:31:39 2014 us=188476 OpenVPN ROUTE: OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig options
Mon Feb 03 11:31:39 2014 us=188476 OpenVPN ROUTE: failed to parse/resolve route for host/network: 192.168.3.0

Нужно менять что-то еще?

И еще смущает такая строчка:
iroute only works with tun-style tunnels

в папке ccd находится конфиги клиентов, вот содержимое:

клиент1:
iroute 192.168.3.0 255.255.255.0
ifconfig-push 10.8.0.9 10.8.0.10

клиент2:
iroute 192.168.1.0 255.255.255.0
ifconfig-push 10.8.0.5 10.8.0.6

saritikon

Проблема была в антивирусе касперского, он блокировал трафик на win-сервере

с dev tun по udp файл-шара винды заработала, что в конечном счете и требовалось!

to werter

Еще раз большое спасибо за внимание и терпение!

werter

Пожалуйста. Вот и вы опыт в настройке приобрели. И это хорошо  :D