OPENVPN объединить две сети

werter

Разбирайтесь с NAT-ом на OpenWRT

P.s. Что-то типа - https://toster.ru/q/65028

AlexS

Настроил нат на openwrt.
СейчАс с сервера openvpn  пингует локалку за клиентом, т.е. 10.7.13.0.
Однако из локалки 10.7.11.0 пинги в 10.7.13.0. не ходят

werter

Таблицу маршрутов на Openwrt смотрите.

AlexS

строчки
iptables -t nat -A POSTROUTING -o tun+ -j MASQUERADE
etc.rc.local
недостаточно?

route -n
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0             x.x.x.x              0.0.0.0         UG    0      0        0 eth0.2
10.7.11.0       10.7.12.5       255.255.255.0   UG    0      0        0 tun0
10.7.12.0       10.7.12.5       255.255.255.0   UG    0      0        0 tun0
10.7.12.5       0.0.0.0         255.255.255.255 UH    0      0        0 tun0
10.7.13.0       0.0.0.0         255.255.255.0   U     0      0        0 br-lan
x.x.x.x           0.0.0.0         255.255.255.0   U     0      0        0 eth0.2

AlexS

werterZ я прописал, то что вы указывали в другой теме на openwrt.

Сервер pfsense с ip 10.7.11.1, является сервером openvpn. На  данный момент с него пингуются адреса из локалки за openwrt клиентом(10.7.13.х).
Я с компьютера из локалки c ip 10.7.11.5, не могу достучаться до 10.7.13.х

traceroute to 10.7.13.4 (10.7.13.4), 30 hops max, 60 byte packets
1  192.168.2.1 (192.168.2.1)  1.671 ms  1.628 ms  1.981 ms
2  192.168.1.1 (192.168.1.1)  4.501 ms  4.507 ms  4.452 ms

Почему pfserver направляет  пакеты в 192.168.2.1?

Правила в firewall


werter

Рисуйте подробную схему ваших сетей.

AlexS

При этом openvpn адрес  openwrt шлюза с моего компа (10.7.11.5) пингуется
shor@shor-GX60:~$ traceroute 10.7.12.6
traceroute to 10.7.12.6 (10.7.12.6), 30 hops max, 60 byte packets
1  10.7.11.1 (10.7.11.1)  1.551 ms  2.200 ms  2.515 ms
2  10.7.12.6 (10.7.12.6)  228.793 ms  231.124 ms  231.167 ms


werter

Скрины вкладок OpenVPN сервера и Client можно?

AlexS

3 скрина


AlexS

client


werter

На первом скрине сверху в Advanced в директиве route в конце нет точки с запятой в конце. Может это и не существенно
всего лишь для одной команды, но все же есть синтаксис и надо его придерживаться.

Далее , вы уверены , что Common Name в Client Specific Overrides указано верно? Скрин System: Certificate Manager : Certificates покажите.

AlexS

Пожалуйста
Также скрин где видно, какой клиент подключился


werter

Ок. Тогда так  - вы не можете "достучаться" до сети за Openwrt, верно? Судя по всему проблем с pf нет - коннект есть , маршруты есть.
Разбирайтесь c Openwrt - правила iptables, NAT.

P.s. http://theitdepartment.wordpress.com/2009/06/08/openwrt-openvpn-routed-lans/

[root@client openvpn]# iptables -t nat -A POSTROUTING -s 192.168.255.2 -d 10.0.0.0/24 -j SNAT –to-source 192.168.1.1
[root@client openvpn]# iptables -A FORWARD -i eth0 -o tun0 -s 192.168.1.0/24 -d 10.0.0.0/24 -j ACCEPT
[root@client openvpn]# iptables -A FORWARD -i tun0 -o eth0 -s 10.0.0.0/24 -d 192.168.1.0/24 -j ACCEPT

Правила адаптируйте под свои и включите NAT на Openwrt .
И не забывайте после изменения правил iptables или перезапускать iptables или перезагружать роутер с OpenWRT!

AlexS

мне кажется проблема все-таки в pf

из локалки  10.7.11.x на openvpn ip openwrt  10.7.12.6
traceroute to 10.7.12.6 (10.7.12.6), 30 hops max, 60 byte packets
1 10.7.11.1 (10.7.11.1)  1.594 ms  1.968 ms  2.632 ms
2  10.7.12.6 (10.7.12.6)  64.333 ms  72.619 ms  75.063 ms

тогда как если я пытаюсь достучаться на 10.7.13.1(внутрений ip) openwrt
traceroute to 10.7.13.1 (10.7.13.1), 30 hops max, 60 byte packets
1  192.168.2.1 (192.168.2.1)  1.886 ms  1.852 ms  1.835 ms

То pfsense направляет пакеты на wan интерфейс
Почему?

werter

Перезагрузите pfsense

AlexS

Перезагрузка не помогла

$traceroute 10.7.12.6
traceroute to 10.7.12.6 (10.7.12.6), 30 hops max, 60 byte packets
1  10.7.11.1 (10.7.11.1)  1.686 ms  1.666 ms  2.099 ms
2  10.7.12.6 (10.7.12.6)  86.667 ms  90.031 ms  92.376 ms
$ traceroute 10.7.13.1
traceroute to 10.7.13.1 (10.7.13.1), 30 hops max, 60 byte packets
1  192.168.2.1 (192.168.2.1)  1.577 ms  1.544 ms  1.528 ms

werter

Еще раз route -n на pfsense при этом покажите.

AlexS

по ssh

[2.0.1-RELEASE][root@pfsense.work]/root(10): route -n
usage: route [-dnqtv] command [[modifiers] args]

gui
Diagnostics->routes

IPv4
Destination 	Gateway 	Flags 	Refs 	Use 	Mtu 	Netif 	Expire
0.0.0.0/24 	link#1 	U 	0 	0 	1500 	fxp0 	=>
default 	192.168.2.1 	UGS 	0 	23513 	1500 	fxp0 	 
10.7.11.0/24 	link#2 	U 	0 	2835752 	1500 	rl0 	 
10.7.11.1 	link#2 	UHS 	0 	0 	16384 	lo0 	 
10.7.12.0/24 	10.7.12.2 	UGS 	0 	44 	1500 	ovpns1 	 
10.7.12.1 	link#10 	UHS 	0 	0 	16384 	lo0 	 
10.7.12.2 	link#10 	UH 	0 	0 	1500 	ovpns1 	 
10.7.13.0/24 	10.7.12.2 	UGS 	0 	4010 	1500 	ovpns1 	 
192.168.2.0/24 	link#1 	U 	0 	716 	1500 	fxp0 	 
192.168.2.101 	link#1 	UHS 	0 	0 	16384 	lo0 	 
192.168.200.9 	00:0c:6e:58:8d:58 	UHS 	0 	11 	1500 	fxp0 	 
192.168.200.10 	00:0c:6e:58:8d:58 	UHS 	0 	11 	1500 	fxp0 	 
192.168.200.15 	00:0c:6e:58:8d:58 	UHS 	0 	11 	1500 	fxp0 	 

werter

А покажите-ка правила NAT на pfsense.

AlexS

эти?