IPSec между филиалами, на одом из которых 2 прова&#

Fat32

Нет, не делал.
Добавил запись и стало пинговаться все компьютеры со стороны филиала(10.201.115.0.24), а со стороный офиса (10.201.114.0.24) пинги и доступ не идет.
И еще подскажите как сделать так чтобы все запросы не относящиеся к пулу адресов 10.201.115.0/24, т.е. все остальное он переадресовывал на другой IP.
знаю как это сделать в windows "route add -p 0.0.0.0 mask 0.0.0.0 10.201.114.5"
Но где это писать в Pfsense и как писать не знаю

![Скриншот 2014-03-20 15.08.42.png](/public/imported_attachments/1/Скриншот 2014-03-20 15.08.42.png)
![Скриншот 2014-03-20 15.08.42.png_thumb](/public/imported_attachments/1/Скриншот 2014-03-20 15.08.42.png_thumb)
![Скриншот 2014-03-20 15.16.19.png](/public/imported_attachments/1/Скриншот 2014-03-20 15.16.19.png)
![Скриншот 2014-03-20 15.16.19.png_thumb](/public/imported_attachments/1/Скриншот 2014-03-20 15.16.19.png_thumb)

werter

На первом скрине уберите записи в Advanced. Вы и так уже выше объявили маршруты и в локальную и в удаленную сети.
Далее, для того чтобы сеть за сервером "увидела" сеть за клиентом применяется директива iroute . Запись с ней вносится во вкладке Client-Specific Overrides: Advanced settings на Опенвпн-сервере :

iroute 192.168.0.1 255.255.255.0 vpn_gateway;

Вместо 192.168.0.1 255.255.255.0 внесите свои данные

P.s. http://blog.stefcho.eu/?p=611

SysR

В OpenVPN в режиме сервера тунель поднимается только клиентом те в одностороннем порядке. IPSEC в этом плане более продвинут.

Для коректной маршрутизации используйте iroute с обеих сторон.

Еще рекомендую сделать адреса клиентов статическими, http://www.sergeysl.ru/freebsd-openvpn-client-static-ip/

werter

@SysR:

В OpenVPN в режиме сервера тунель поднимается только клиентом те в одностороннем порядке.

Так никто и не спорит.

IPSEC в этом плане более продвинут.

С чего бы это? IPSEC работает только на сетевом уровне OSI, OpenVPN же может на 2-ух.

Для коректной маршрутизации используйте iroute с обеих сторон.

Первый раз такое слышу. Директива iroute - это серверная директива.

Fat32

@werter:

На первом скрине уберите записи в Advanced. Вы и так уже выше объявили маршруты и в локальную и в удаленную сети.

Если убираю эту запись доступ к клиента за сервер пропадает.
Так же странно, могу пинговать сеть за сервером, но dns адреса не проходят.
Адреса содержаться на AD контролере (DNS-сервер), который стоит в сети за сервером OpenVPN. Он пингуется и даже nslookup дает ответ на вопросы по сетевым адресам. Но когда пытаешься получить пинг на адрес, пишет не найдено.

По dns адресам он обращается в адресу 10.201.114.10
Это основной dns, но в таблице маршрутизации он почемуто идет отдельной графой и на какой то левый шлюз, как его убрать оттуда?

ipconfig /all с машины:
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : WKS-PTG-05
Основной DNS-суффикс . . . . . . : vist-media.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : vist-media.local

Ethernet adapter Local Area Connection:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek PCIe FE Family Controller
Физический адрес. . . . . . . . . : 00-00-00-00-F0-00
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.201.115.11(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 10.201.115.1
DNS-серверы. . . . . . . . . . . : 10.201.114.11
10.201.114.10
10.201.115.1
NetBios через TCP/IP. . . . . . . . : Включен

![Скриншот 2014-03-21 09.57.24.png](/public/imported_attachments/1/Скриншот 2014-03-21 09.57.24.png)
![Скриншот 2014-03-21 09.57.24.png_thumb](/public/imported_attachments/1/Скриншот 2014-03-21 09.57.24.png_thumb)
![Скриншот 2014-03-21 10.00.36.png](/public/imported_attachments/1/Скриншот 2014-03-21 10.00.36.png)
![Скриншот 2014-03-21 10.00.36.png_thumb](/public/imported_attachments/1/Скриншот 2014-03-21 10.00.36.png_thumb)
![Скриншот 2014-03-21 10.17.21.png](/public/imported_attachments/1/Скриншот 2014-03-21 10.17.21.png)
![Скриншот 2014-03-21 10.17.21.png_thumb](/public/imported_attachments/1/Скриншот 2014-03-21 10.17.21.png_thumb)

SysR

Попробуйте сделать следующее:
Уберите все дополнительные настройки и укажите маршруты вручную через консоль или System -> Routing.
На роутерах укажите маршрутизацию сетей к филиалам:
На сервере route add 10.201.115.0/24 10.201.8.2 внетрений адрес клиента опенвпн
На клиенте route add 10.201.114.0/24 10.201.8.1 внутрений адрес сервера опенвпн

werter

@SysR:

Попробуйте сделать следующее:

На сервере route add 10.201.115.0/24 10.201.8.2 внетрений адрес клиента опенвпн
На клиенте route add 10.201.114.0/24 10.201.8.1 внутрений адрес сервера опенвпн

Ни в коем случае. Маршрутизацией должны заниматься его pfsense на обоих концах, а не вручную рисоваться.

2 ТС

Покажите скриншот Certificates на сервере. У Вас все машины в обеих сетях имеют шлюзами pfsense?

SysR

Ни в коем случае. Маршрутизацией должны заниматься его pfsense на обоих концах, а не вручную рисоваться.

Я про ПФсенсы и пишу.
На время отладки можно и в ручную нарисовать, но Вы можете дальше пробовать попадать пальцем в небо, дело ваше.
Скажу только что я 2 года назад отказался от использования ОпенВПН в пользу ИПСЕК и ни разу не пожалел, удачи.

werter

2 SysR
Настроил далеко не одну связку на OpenVPN - работают не первый год и проблем нет. OpenVPN - самое гибкое из VPN решений.
"Вы не любите, кошек? Вы просто не умеете их готовить" (с) не моё.

2 Fat32
Смотрите ЛС.

aleksvolgin

Скажу только что я 2 года назад отказался от использования ОпенВПН в пользу ИПСЕК и не разу не пожалел, удачи.

Истину глаголите. ^_^

smils

+++1

Fat32

Все так же и осталось, все со всех сторон пингуется на IP адреса на DNS адреса со стороны филиала не идут. Решил вопрос пропсам нужные dns адреса в Pfsense. Всем большое спасибо.