• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

OPENVPN объединить две сети

Scheduled Pinned Locked Moved Russian
30 Posts 2 Posters 10.1k Views
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • A
    AlexS
    last edited by Feb 6, 2014, 10:41 AM

    Здравствуйте!
    У меня в качестве шлюза pfsense 2.1.
    На нем поднят openvpn сервер .
    Адреса в локалке 10.7.11.0/24.

    у другого провайдера стоит router openowrt,  на котором поднимается openvpn клиент panino.
    Адреса локалки за router 10.7.13.0/24.
    Соединение происходит нормально, однако доступа из локальной сети 10.7.11.0 в 10.7.13.0 отстутсвует.
    Помогите пожалуйста настроить. Конфиги ниже.
    Routing tables

    Destination Gateway Flags Refs Use Mtu Netif Expire
    0.0.0.0/24 link#1 U 0 0 1500 fxp0 =>
    default 192.168.2.1 UGS 0 96892 1492 fxp0
    10.0.0.1 link#26 UH 0 0 1492 pptp0
    10.0.4.32 link#26 UHS 0 0 16384 lo0
    10.1.4.0/24 link#3 U 0 2717536 1500 vr0
    10.1.4.226 link#3 UHS 0 0 16384 lo0
    10.7.11.0/24 link#2 U 0 123013983 1500 rl0
    10.7.11.1 link#2 UHS 0 0 16384 lo0
    10.7.12.0/24 10.7.12.2 UGS 0 5989 1500 ovpns1
    10.7.12.1 link#10 UHS 0 0 16384 lo0
    10.7.12.2 link#10 UH 0 4 1500 ovpns1
    10.7.13.0/24 10.7.12.2 UGS 0 19 1500 ovpns1

    Firewall: Rules

    OpenVPN
    ID Proto  Source Port Destination Port Gateway Queue Schedule Description

              • none   OpenVPN wizard

    сервер

    dev ovpns1
    dev-type tun
    dev-node /dev/tun1
    writepid /var/run/openvpn_server1.pid
    script-security 3
    daemon
    keepalive 10 60
    ping-timer-rem
    persist-tun
    persist-key
    proto udp
    cipher BF-CBC
    up /usr/local/sbin/ovpn-linkup
    down /usr/local/sbin/ovpn-linkdown
    local 192.168.2.101
    tls-server
    server 10.7.12.0 255.255.255.0
    client-config-dir /var/etc/openvpn-csc
    username-as-common-name
    auth-user-pass-verify /var/etc/openvpn/server1.php via-env
    tls-verify /var/etc/openvpn/server1.tls-verify.php
    lport 5861
    management /var/etc/openvpn/server1.sock unix
    max-clients 20
    push "route 10.7.11.0 255.255.255.0"
    client-to-client
    ca /var/etc/openvpn/server1.ca
    cert /var/etc/openvpn/server1.cert
    key /var/etc/openvpn/server1.key
    dh /etc/dh-parameters.1024
    tls-auth /var/etc/openvpn/server1.tls-auth 0
    comp-lzo
    persist-remote-ip
    float
    route 10.7.13.0 255.255.255.0

    ccd panino

    iroute 10.7.13.0 255.255.255.0
    ifconfig-push 10.7.11.0 255.255.255.0

    конфиг роутера  panino

    dev tun
    persist-tun
    persist-key
    proto udp
    cipher BF-CBC
    tls-client
    client
    resolv-retry infinite
    remote x.x.x.x 5861
    pull
    route 10.7.11.0 255.255.255.0
    tls-remote server sertif
    auth-user-pass
    ca [inline]
    cert [inline]
    key [inline]
    tls-auth [inline] 1
    comp-lzo

    1 Reply Last reply Reply Quote 0
    • W
      werter
      last edited by Feb 6, 2014, 12:20 PM

      Routing tables
      …..
      10.7.13.0/24    10.7.12.2    UGS    0    19    1500    ovpns1

      Маршрут из сети сервера в сеть клиента есть.

      ccd panino
      iroute 10.7.13.0 255.255.255.0
      ifconfig-push 10.7.11.0 255.255.255.0

      В конфиге на пф во вкладке Client Specific Overrides в Common name правильно значение указано?
      Подсказка :

      NOTE: Common Name should be the same as specified in the clients certificate:

      If you have forgotten this name go to System\Cert Manager\Certificates and check the value of the CN for your VPN user

      Там же ниже в Advanced должно быть  :

      iroute 10.7.13.0 255.255.255.0**;**

      Именно с ;

      И что там делает ifconfig-push 10.7.11.0 255.255.255.0 ?! Уберите!
      Ибо написано неверно - это задание static ip для подключающегося клиента. И что вы ему выдаете???

      P.s. Для понимания - http://fastinetserver.wordpress.com/2013/03/09/pfsense-openvpn-static-ip-for-clients/

      1 Reply Last reply Reply Quote 0
      • A
        AlexS
        last edited by Feb 7, 2014, 6:36 AM

        Спасибо!

        Теперь у меня вопрос на стороне openowrt. Не пускает в локалку, будем разбираться

        1 Reply Last reply Reply Quote 0
        • W
          werter
          last edited by Feb 7, 2014, 3:51 PM Feb 7, 2014, 3:44 PM

          Разбирайтесь с NAT-ом на OpenWRT

          P.s. Что-то типа - https://toster.ru/q/65028

          1 Reply Last reply Reply Quote 0
          • A
            AlexS
            last edited by Feb 10, 2014, 9:58 AM Feb 10, 2014, 7:32 AM

            Настроил нат на openwrt.
            СейчАс с сервера openvpn  пингует локалку за клиентом, т.е. 10.7.13.0.
            Однако из локалки 10.7.11.0 пинги в 10.7.13.0. не ходят

            1 Reply Last reply Reply Quote 0
            • W
              werter
              last edited by Feb 10, 2014, 10:11 AM

              Таблицу маршрутов на Openwrt смотрите.

              1 Reply Last reply Reply Quote 0
              • A
                AlexS
                last edited by Feb 11, 2014, 5:59 PM

                строчки
                iptables -t nat -A POSTROUTING -o tun+ -j MASQUERADE
                etc.rc.local
                недостаточно?

                route -n
                Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
                0.0.0.0             x.x.x.x              0.0.0.0         UG    0      0        0 eth0.2
                10.7.11.0       10.7.12.5       255.255.255.0   UG    0      0        0 tun0
                10.7.12.0       10.7.12.5       255.255.255.0   UG    0      0        0 tun0
                10.7.12.5       0.0.0.0         255.255.255.255 UH    0      0        0 tun0
                10.7.13.0       0.0.0.0         255.255.255.0   U     0      0        0 br-lan
                x.x.x.x           0.0.0.0         255.255.255.0   U     0      0        0 eth0.2
                
                1 Reply Last reply Reply Quote 0
                • A
                  AlexS
                  last edited by Feb 27, 2014, 8:42 AM

                  werterZ я прописал, то что вы указывали в другой теме на openwrt.

                  Сервер pfsense с ip 10.7.11.1, является сервером openvpn. На  данный момент с него пингуются адреса из локалки за openwrt клиентом(10.7.13.х).
                  Я с компьютера из локалки c ip 10.7.11.5, не могу достучаться до 10.7.13.х

                  traceroute to 10.7.13.4 (10.7.13.4), 30 hops max, 60 byte packets
                  1  192.168.2.1 (192.168.2.1)  1.671 ms  1.628 ms  1.981 ms
                  2  192.168.1.1 (192.168.1.1)  4.501 ms  4.507 ms  4.452 ms

                  Почему pfserver направляет  пакеты в 192.168.2.1?

                  Правила в firewall

                  ![Без имени.png](/public/imported_attachments/1/Без имени.png)
                  ![Без имени.png_thumb](/public/imported_attachments/1/Без имени.png_thumb)

                  1 Reply Last reply Reply Quote 0
                  • W
                    werter
                    last edited by Feb 27, 2014, 1:02 PM

                    Рисуйте подробную схему ваших сетей.

                    1 Reply Last reply Reply Quote 0
                    • A
                      AlexS
                      last edited by Feb 27, 2014, 1:56 PM

                      При этом openvpn адрес  openwrt шлюза с моего компа (10.7.11.5) пингуется
                      shor@shor-GX60:~$ traceroute 10.7.12.6
                      traceroute to 10.7.12.6 (10.7.12.6), 30 hops max, 60 byte packets
                      1  10.7.11.1 (10.7.11.1)  1.551 ms  2.200 ms  2.515 ms
                      2  10.7.12.6 (10.7.12.6)  228.793 ms  231.124 ms  231.167 ms

                      ![Untitled Diagram.png](/public/imported_attachments/1/Untitled Diagram.png)
                      ![Untitled Diagram.png_thumb](/public/imported_attachments/1/Untitled Diagram.png_thumb)

                      1 Reply Last reply Reply Quote 0
                      • W
                        werter
                        last edited by Feb 27, 2014, 2:02 PM

                        Скрины вкладок OpenVPN сервера и Client можно?

                        1 Reply Last reply Reply Quote 0
                        • A
                          AlexS
                          last edited by Feb 27, 2014, 5:23 PM

                          3 скрина

                          ![Снимок экрана от 2014-02-27 21:08:50.jpg](/public/imported_attachments/1/Снимок экрана от 2014-02-27 21:08:50.jpg)
                          ![Снимок экрана от 2014-02-27 21:08:50.jpg_thumb](/public/imported_attachments/1/Снимок экрана от 2014-02-27 21:08:50.jpg_thumb)
                          ![Снимок экрана от 2014-02-27 21:08:16.jpg](/public/imported_attachments/1/Снимок экрана от 2014-02-27 21:08:16.jpg)
                          ![Снимок экрана от 2014-02-27 21:08:16.jpg_thumb](/public/imported_attachments/1/Снимок экрана от 2014-02-27 21:08:16.jpg_thumb)
                          ![Снимок экрана от 2014-02-27 21:08:33.jpg](/public/imported_attachments/1/Снимок экрана от 2014-02-27 21:08:33.jpg)
                          ![Снимок экрана от 2014-02-27 21:08:33.jpg_thumb](/public/imported_attachments/1/Снимок экрана от 2014-02-27 21:08:33.jpg_thumb)

                          1 Reply Last reply Reply Quote 0
                          • A
                            AlexS
                            last edited by Feb 27, 2014, 5:25 PM

                            client

                            ![Снимок экрана от 2014-02-27 21:07:49.jpg](/public/imported_attachments/1/Снимок экрана от 2014-02-27 21:07:49.jpg)
                            ![Снимок экрана от 2014-02-27 21:07:49.jpg_thumb](/public/imported_attachments/1/Снимок экрана от 2014-02-27 21:07:49.jpg_thumb)

                            1 Reply Last reply Reply Quote 0
                            • W
                              werter
                              last edited by Feb 28, 2014, 8:16 AM Feb 28, 2014, 8:09 AM

                              На первом скрине сверху в Advanced в директиве route в конце нет точки с запятой в конце. Может это и не существенно
                              всего лишь для одной команды, но все же есть синтаксис и надо его придерживаться.

                              Далее , вы уверены , что Common Name в Client Specific Overrides указано верно? Скрин System: Certificate Manager : Certificates покажите.

                              1 Reply Last reply Reply Quote 0
                              • A
                                AlexS
                                last edited by Feb 28, 2014, 8:41 AM

                                Пожалуйста
                                Также скрин где видно, какой клиент подключился

                                ![Снимок экрана от 2014-02-28 12:39:17.png](/public/imported_attachments/1/Снимок экрана от 2014-02-28 12:39:17.png)
                                ![Снимок экрана от 2014-02-28 12:39:17.png_thumb](/public/imported_attachments/1/Снимок экрана от 2014-02-28 12:39:17.png_thumb)
                                ![Без имени.png](/public/imported_attachments/1/Без имени.png)
                                ![Без имени.png_thumb](/public/imported_attachments/1/Без имени.png_thumb)

                                1 Reply Last reply Reply Quote 0
                                • W
                                  werter
                                  last edited by Feb 28, 2014, 9:06 AM Feb 28, 2014, 8:55 AM

                                  Ок. Тогда так  - вы не можете "достучаться" до сети за Openwrt, верно? Судя по всему проблем с pf нет - коннект есть , маршруты есть.
                                  Разбирайтесь c Openwrt - правила iptables, NAT.

                                  P.s. http://theitdepartment.wordpress.com/2009/06/08/openwrt-openvpn-routed-lans/

                                  [root@client openvpn]# iptables -t nat -A POSTROUTING -s 192.168.255.2 -d 10.0.0.0/24 -j SNAT –to-source 192.168.1.1
                                  [root@client openvpn]# iptables -A FORWARD -i eth0 -o tun0 -s 192.168.1.0/24 -d 10.0.0.0/24 -j ACCEPT
                                  [root@client openvpn]# iptables -A FORWARD -i tun0 -o eth0 -s 10.0.0.0/24 -d 192.168.1.0/24 -j ACCEPT

                                  Правила адаптируйте под свои и включите NAT на Openwrt .
                                  И не забывайте после изменения правил iptables или перезапускать iptables или перезагружать роутер с OpenWRT!

                                  1 Reply Last reply Reply Quote 0
                                  • A
                                    AlexS
                                    last edited by Feb 28, 2014, 9:31 AM

                                    мне кажется проблема все-таки в pf

                                    из локалки  10.7.11.x на openvpn ip openwrt  10.7.12.6
                                    traceroute to 10.7.12.6 (10.7.12.6), 30 hops max, 60 byte packets
                                    1 10.7.11.1 (10.7.11.1)  1.594 ms  1.968 ms  2.632 ms
                                    2  10.7.12.6 (10.7.12.6)  64.333 ms  72.619 ms  75.063 ms

                                    тогда как если я пытаюсь достучаться на 10.7.13.1(внутрений ip) openwrt
                                    traceroute to 10.7.13.1 (10.7.13.1), 30 hops max, 60 byte packets
                                    1  192.168.2.1 (192.168.2.1)  1.886 ms  1.852 ms  1.835 ms

                                    То pfsense направляет пакеты на wan интерфейс
                                    Почему?

                                    1 Reply Last reply Reply Quote 0
                                    • W
                                      werter
                                      last edited by Feb 28, 2014, 9:39 AM

                                      Перезагрузите pfsense

                                      1 Reply Last reply Reply Quote 0
                                      • A
                                        AlexS
                                        last edited by Feb 28, 2014, 10:15 AM

                                        Перезагрузка не помогла

                                        $traceroute 10.7.12.6
                                        traceroute to 10.7.12.6 (10.7.12.6), 30 hops max, 60 byte packets
                                        1  10.7.11.1 (10.7.11.1)  1.686 ms  1.666 ms  2.099 ms
                                        2  10.7.12.6 (10.7.12.6)  86.667 ms  90.031 ms  92.376 ms
                                        $ traceroute 10.7.13.1
                                        traceroute to 10.7.13.1 (10.7.13.1), 30 hops max, 60 byte packets
                                        1  192.168.2.1 (192.168.2.1)  1.577 ms  1.544 ms  1.528 ms

                                        1 Reply Last reply Reply Quote 0
                                        • W
                                          werter
                                          last edited by Feb 28, 2014, 11:48 AM

                                          Еще раз route -n на pfsense при этом покажите.

                                          1 Reply Last reply Reply Quote 0
                                          • First post
                                            Last post
                                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
                                            [[user:consent.lead]]
                                            [[user:consent.not_received]]