OpenVPN PKI: Site-to-Site инструкция для обсуждения

Tr0tter

Вроде сделал всё по статье, но у меня теперь OpenVPN не работает на PFsense
http://s020.radikal.ru/i722/1404/54/cd8a5727205f.png
куда посмотреть ? что показать ?
после запуска вот что пишет:
http://i011.radikal.ru/1404/7c/b9d70cc0ada4.png
запускал из:
Status-OpenVPN (первый скрин)
Недавно обновился на 2.1.1 Не из за этого ли ?

Вопрос закрыт, было так route 192.168.5.0 255.255.255.0 push "route 10.0.0.0 255.0.0.0
Сделал так route 192.168.5.0 255.255.255.0 push "route 10.0.0.0 255.0.0.0"

Продолжаю наблюдения… )

Tr0tter

Вот лог, когда подключился, сеть центрального офиса пинговать я не мог…
Apr 8 12:07:03 openvpn: user 'User' authenticated
Apr 8 12:07:03 openvpn[96712]: 95.37.126.124:17483 [User] Peer Connection Initiated with [AF_INET]95.37.126.124:17483
Apr 8 12:07:03 openvpn[96712]: User/95.37.126.124:17483 MULTI_sva: pool returned IPv4=10.200.0.6, IPv6=(Not enabled)
Apr 8 12:07:05 openvpn[96712]: User/95.37.126.124:17483 send_push_reply(): safe_cap=940
Apr 8 12:18:48 openvpn[96712]: User/95.37.126.124:17483 [User] Inactivity timeout (–ping-restart), restarting

Tr0tter

Apr 8 14:49:56 openvpn: user 'User' authenticated
Apr 8 14:49:56 openvpn[99997]: 79.126.25.160:5272 [User] Peer Connection Initiated with [AF_INET]79.126.25.160:5272
Apr 8 14:49:56 openvpn[99997]: User/79.126.25.160:5272 MULTI_sva: pool returned IPv4=10.200.0.6, IPv6=(Not enabled)
Apr 8 14:49:58 openvpn[99997]: User/79.126.25.160:5272 send_push_reply(): safe_cap=940

Ни чего не пингуется совсем

werter

Удалёнка 192.168.5.0\24
Офис        192.168.0.0\24

pfsense :

route 192.168.5.0 255.255.255.0;
push "route 192.168.0.0 255.255.255.0";

Client specific overide (на pfsense):

iroute 192.168.5.0 255.255.255.0;

На TomatoUSB в конфиг добавьте директиву pull

Tr0tter

@werter:

На TomatoUSB в конфиг добавьте директиву pull

Это где делается ?
И как в томато вообще править конфиг, тама же всё через web делается

werter

Скрины правил fw на LAN, WAN и OpenVPN покажите.

Tr0tter

@werter:

Скрины правил fw на LAN, WAN и OpenVPN покажите.

http://i069.radikal.ru/1404/06/2ed5e43c3635.png
http://s43.radikal.ru/i099/1404/78/45f0c9a98704.png
http://s019.radikal.ru/i614/1404/7d/fa3431ce47ae.png

werter

Прикрепите скрины здесь, пож-та.

Tr0tter

@werter:

Прикрепите скрины здесь, пож-та.

Tr0tter

@werter:

[На TomatoUSB в конфиг добавьте директиву [i]pull

Как это сделать то ?

werter

Вкладка Advanced –> Custom options в настройке Client 1 на TomatoUSB

P.s. Не мучайтесь с сертификатами. Сделайте авторизацию по Static key.  Куда уж проще ?

Tr0tter

@werter:

Вкладка Advanced –> Custom options в настройке Client 1 на TomatoUSB

P.s. Не мучайтесь с сертификатами. Сделайте авторизацию по Static key.  Куда уж проще ?

А что конкретно прописать то нужно ? просто слово pull ?

Routing table

Напомню:
192.168.0.0\24 - Центральный офис
192.168.5.0\24 - Удалённый офис
10.200.0.0 OpenVPN

werter

Хм..У вас же OpenVPN-линк поднялся судя по скринам. Смотрите настройки fw на клиентах\отключите временно все fw .
Проверяйте telnet-ом (а не только ping-ом).

P.s. Покажите скрин таблицы марш-ции на pfsense при поднятом OpenVPN. Плюс скрин Basic на TomatoUSB (Client1)

Tr0tter

@werter:

Хм..У вас же OpenVPN-линк поднялся судя по скринам. Смотрите настройки fw на клиентах\отключите временно все fw .
Проверяйте telnet-ом (а не только ping-ом).

P.s. Покажите скрин таблицы марш-ции на pfsense при поднятом OpenVPN. Плюс скрин Basic на TomatoUSB (Client1)

werter

Что traceroute говорит с обеих сторон ? Где "затык" ?

Tr0tter

@werter:

Что traceroute говорит с обеих сторон ? Где "затык" ?

с обеих старон картина одна и таже, вот со стараны клиента:
Microsoft Windows [Version 6.1.7601]
Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.

tracert 192.168.0.201

Трассировка маршрута к 192.168.0.201 с максимальным числом прыжков 30

1    <1 мс    <1 мс    1 ms  192.168.5.3
  2    *        *        *    Превышен интервал ожидания для запроса.
  3    *        *        *    Превышен интервал ожидания для запроса.
  4    *        *        *    Превышен интервал ожидания для запроса.
  5    *        *        *    Превышен интервал ожидания для запроса.
  6  ^C

192.168.0.201 - pfsense центрального офиса
192.168.5.3 - TamatoUSB Удалённого клиента.
10.200.0.6 пингуется из центрального офиса и удалёного

werter

iroute добавляли на pfsense (вкладка client) ?

Tr0tter

@werter:

iroute добавляли на pfsense (вкладка client) ?

Да, как Вы говорили выше.

Tr0tter

@werter:

iroute добавляли на pfsense (вкладка client) ?

OpenVPN: Client Specific Override

OpenVPN Server

Что ещё показать  ?

werter

WizardsClient - точно существующий и правильный Common name ?
NAT на pfsense - автоматом стоит ?
Вручную маршруты на устройствах и клиентах не прописаны ? Проверяли этот момент?

P.s. А шлюзами на обоих концах точно указаны Pfsense\TomatoUSB ? Проверьте этот момент.