• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

OpenVPN PKI: Site-to-Site инструкция для обсуждения

Scheduled Pinned Locked Moved Russian
376 Posts 39 Posters 217.5k Views
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • T Offline
    Tr0tter
    last edited by Apr 8, 2014, 11:52 AM Apr 8, 2014, 11:44 AM

    @werter:

    На TomatoUSB в конфиг добавьте директиву pull

    Это где делается ?
    И как в томато вообще править конфиг, тама же всё через web делается

    1 Reply Last reply Reply Quote 0
    • W Offline
      werter
      last edited by Apr 8, 2014, 12:14 PM

      Скрины правил fw на LAN, WAN и OpenVPN покажите.

      1 Reply Last reply Reply Quote 0
      • T Offline
        Tr0tter
        last edited by Apr 8, 2014, 12:34 PM

        @werter:

        Скрины правил fw на LAN, WAN и OpenVPN покажите.

        http://i069.radikal.ru/1404/06/2ed5e43c3635.png
        http://s43.radikal.ru/i099/1404/78/45f0c9a98704.png
        http://s019.radikal.ru/i614/1404/7d/fa3431ce47ae.png

        1 Reply Last reply Reply Quote 0
        • W Offline
          werter
          last edited by Apr 8, 2014, 1:01 PM

          Прикрепите скрины здесь, пож-та.

          1 Reply Last reply Reply Quote 0
          • T Offline
            Tr0tter
            last edited by Apr 9, 2014, 3:16 AM

            @werter:

            Прикрепите скрины здесь, пож-та.



            1 Reply Last reply Reply Quote 0
            • T Offline
              Tr0tter
              last edited by Apr 9, 2014, 8:44 AM

              @werter:

              [На TomatoUSB в конфиг добавьте директиву [i]pull

              Как это сделать то ?

              1 Reply Last reply Reply Quote 0
              • W Offline
                werter
                last edited by Apr 9, 2014, 9:25 AM

                Вкладка Advanced –> Custom options в настройке Client 1 на TomatoUSB

                P.s. Не мучайтесь с сертификатами. Сделайте авторизацию по Static key.  Куда уж проще ?

                1 Reply Last reply Reply Quote 0
                • T Offline
                  Tr0tter
                  last edited by Apr 10, 2014, 3:44 AM Apr 9, 2014, 5:45 PM

                  @werter:

                  Вкладка Advanced –> Custom options в настройке Client 1 на TomatoUSB

                  P.s. Не мучайтесь с сертификатами. Сделайте авторизацию по Static key.  Куда уж проще ?

                  А что конкретно прописать то нужно ? просто слово pull ?

                  Routing table

                  Напомню:
                  192.168.0.0\24 - Центральный офис
                  192.168.5.0\24 - Удалённый офис
                  10.200.0.0 OpenVPN

                  1 Reply Last reply Reply Quote 0
                  • W Offline
                    werter
                    last edited by Apr 10, 2014, 7:03 AM

                    Хм..У вас же OpenVPN-линк поднялся судя по скринам. Смотрите настройки fw на клиентах\отключите временно все fw .
                    Проверяйте telnet-ом (а не только ping-ом).

                    P.s. Покажите скрин таблицы марш-ции на pfsense при поднятом OpenVPN. Плюс скрин Basic на TomatoUSB (Client1)

                    1 Reply Last reply Reply Quote 0
                    • T Offline
                      Tr0tter
                      last edited by Apr 10, 2014, 8:45 AM

                      @werter:

                      Хм..У вас же OpenVPN-линк поднялся судя по скринам. Смотрите настройки fw на клиентах\отключите временно все fw .
                      Проверяйте telnet-ом (а не только ping-ом).

                      P.s. Покажите скрин таблицы марш-ции на pfsense при поднятом OpenVPN. Плюс скрин Basic на TomatoUSB (Client1)



                      1 Reply Last reply Reply Quote 0
                      • W Offline
                        werter
                        last edited by Apr 10, 2014, 12:16 PM

                        Что traceroute говорит с обеих сторон ? Где "затык" ?

                        1 Reply Last reply Reply Quote 0
                        • T Offline
                          Tr0tter
                          last edited by Apr 10, 2014, 1:01 PM

                          @werter:

                          Что traceroute говорит с обеих сторон ? Где "затык" ?

                          с обеих старон картина одна и таже, вот со стараны клиента:
                          Microsoft Windows [Version 6.1.7601]
                          © Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.

                          tracert 192.168.0.201

                          Трассировка маршрута к 192.168.0.201 с максимальным числом прыжков 30

                          1    <1 мс    <1 мс    1 ms  192.168.5.3
                            2    *        *        *    Превышен интервал ожидания для запроса.
                            3    *        *        *    Превышен интервал ожидания для запроса.
                            4    *        *        *    Превышен интервал ожидания для запроса.
                            5    *        *        *    Превышен интервал ожидания для запроса.
                            6  ^C

                          192.168.0.201 - pfsense центрального офиса
                          192.168.5.3 - TamatoUSB Удалённого клиента.
                          10.200.0.6 пингуется из центрального офиса и удалёного

                          1 Reply Last reply Reply Quote 0
                          • W Offline
                            werter
                            last edited by Apr 10, 2014, 2:59 PM

                            iroute добавляли на pfsense (вкладка client) ?

                            1 Reply Last reply Reply Quote 0
                            • T Offline
                              Tr0tter
                              last edited by Apr 10, 2014, 3:25 PM

                              @werter:

                              iroute добавляли на pfsense (вкладка client) ?

                              Да, как Вы говорили выше.

                              1 Reply Last reply Reply Quote 0
                              • T Offline
                                Tr0tter
                                last edited by Apr 11, 2014, 3:44 AM Apr 11, 2014, 3:41 AM

                                @werter:

                                iroute добавляли на pfsense (вкладка client) ?

                                OpenVPN: Client Specific Override

                                OpenVPN Server

                                Что ещё показать  ?

                                1 Reply Last reply Reply Quote 0
                                • W Offline
                                  werter
                                  last edited by Apr 11, 2014, 12:53 PM Apr 11, 2014, 12:48 PM

                                  WizardsClient - точно существующий и правильный Common name ?
                                  NAT на pfsense - автоматом стоит ?
                                  Вручную маршруты на устройствах и клиентах не прописаны ? Проверяли этот момент?

                                  P.s. А шлюзами на обоих концах точно указаны Pfsense\TomatoUSB ? Проверьте этот момент.

                                  1 Reply Last reply Reply Quote 0
                                  • A Offline
                                    alex101
                                    last edited by May 13, 2014, 11:53 AM

                                    Режим “Peer to Peer (SSL/TLS)” (PKI) несколько более сложен в настройке, чем PSK, но предоставляет большую безопасность, гибкость конфигурирования и отсутствие необходимости заводить отдельный экземпляр сервера OpenVPN для каждого клиента.

                                    Если не трудно, может кто подскажет как это реализовать? Если можно с картинками. Есть работающая VPN, нужно подключить с этому серверу еще одного клиента, не порушив существующую связь.

                                    1 Reply Last reply Reply Quote 0
                                    • P Offline
                                      pigbrother
                                      last edited by May 13, 2014, 2:04 PM May 13, 2014, 1:52 PM

                                      @alex101:

                                      Режим “Peer to Peer (SSL/TLS)” (PKI) несколько более сложен в настройке, чем PSK, но предоставляет большую безопасность, гибкость конфигурирования и отсутствие необходимости заводить отдельный экземпляр сервера OpenVPN для каждого клиента.

                                      Если не трудно, может кто подскажет как это реализовать? Если можно с картинками. Есть работающая VPN, нужно подключить с этому серверу еще одного клиента, не порушив существующую связь.

                                      Присоединюсь к вопросу.
                                      Поднял сервер по данному мануалу, за который, а так же за поддержку в ЛС спасибо уважаемому rubic.

                                      2.0.3-RELEASE (i386)
                                      Open VPN pfsense, за ним сеть 10.0.2.0/24

                                      OVPN-client - "железный" роутер

                                      Конфиг сервера:
                                      –-------------------------------------------------
                                      dev ovpns4
                                      dev-type tun
                                      dev-node /dev/tun4
                                      writepid /var/run/openvpn_server4.pid
                                      #user nobody
                                      #group nobody
                                      script-security 3
                                      daemon
                                      keepalive 10 60
                                      ping-timer-rem
                                      persist-tun
                                      persist-key
                                      proto tcp-server
                                      cipher AES-256-CBC
                                      up /usr/local/sbin/ovpn-linkup
                                      down /usr/local/sbin/ovpn-linkdown
                                      local ххх.ххх.75.229
                                      tls-server
                                      server 10.0.9.0 255.255.255.0
                                      client-config-dir /var/etc/openvpn-csc
                                      ifconfig 10.0.9.1 10.0.9.2
                                      tls-verify /var/etc/openvpn/server4.tls-verify.php
                                      lport 1195
                                      management /var/etc/openvpn/server4.sock unix
                                      push "route 10.0.2.0 255.255.255.0"
                                      route 10.0.4.0 255.255.255.0
                                      ca /var/etc/openvpn/server4.ca
                                      cert /var/etc/openvpn/server4.cert
                                      key /var/etc/openvpn/server4.key
                                      dh /etc/dh-parameters.1024
                                      persist-remote-ip
                                      float
                                      route 10.0.5.0 255.255.255.0

                                      route 10.0.5.0 255.255.255.0 внесено в Advanced configuration сервера

                                      На сервере отключена TLS Authentication - "железный" роутер ее не поддерживает.

                                      Заведено 2 клиента, условно - client1 и client2 для них в Client Specific Override указано

                                      client1 :
                                      iroute 10.0.4.0 255.255.255.0

                                      client2 :
                                      iroute 10.0.5.0 255.255.255.0

                                      При коннекте  клиента client1 сети 10.0.2.0 и 10.0.4.0 взаимно доступны.
                                      При коннекте  клиента client2 сеть 10.0.5.0 "видит" сеть 10.0.2.0, из 10.0.2.0 сеть 10.0.5.0 недоступна.
                                      Смена клиента (common name) на железном роутере производилась попеременно, т.е. подключались либо client1 либо client2.

                                      Возможно ли  средствами  сервера обеспечить взаимную доступность 10.0.2.0<->10.0.5.0 не меняя Remote Network (route 10.0.4.0 255.255.255.0) в его настройка? В планах подключение дополнительных клиентов и хочется обойтись одним экземпляром сервера.

                                      1 Reply Last reply Reply Quote 0
                                      • W Offline
                                        werter
                                        last edited by May 13, 2014, 2:41 PM May 13, 2014, 2:36 PM

                                        @ alex101
                                        Первая страница этого топика. ИМХО, расписано более чем.

                                        @ pigbrother

                                        n-клиентов - n-команд route …. в настройках сервера. Это закон.

                                        Далее, не пойму ,чем не устраивает Server mode: Remote access (SSL\TLS) ? Можно подключать столько клиентов , сколько хотите.
                                        Зачем обязательно Peer to Peer ?

                                        Ваша "односторонняя" доступность из 10.0.2.0 сеть 10.0.5.0 - может аппаратный роутер-клиент блокирует ? Что за "железяка", если не секрет ?
                                        Вы на одном ресурсе из сети .2. в сеть .5. проверяли или на многих? Телнет проходит ли ?

                                        Плюс покажите таблицу роутинга на pfsense при этом, пож-та.

                                        1 Reply Last reply Reply Quote 0
                                        • P Offline
                                          pigbrother
                                          last edited by May 14, 2014, 7:58 AM

                                          >n-клиентов - n-команд route …. в настройках сервера. Это закон.
                                          так закон и соблюдается. 10.0.4.111 внесено через Remote Network, 10.0.5.111 - через Advanced configuration.

                                          >Зачем обязательно Peer to Peer ?
                                          Согласно рекомендациям данного топика. Пробовал и Remote access (SSL\TLS) - получаю одностороннюю доступность
                                          10.0.4.0->10.0.2.0

                                          >Ваша "односторонняя" доступность из 10.0.2.0 сеть 10.0.5.0 - может аппаратный роутер-клиент блокирует?
                                          Нет, не блокирует. Но проверю позже еще

                                          Что за "железяка", если не секрет ?
                                          Mikrotik.

                                          Вы на одном ресурсе из сети .2. в сеть .5. проверяли или на многих? Телнет проходит ли ?
                                          На нескольких. Телнет не проходит. Но позже проверю еще раз.

                                          Сеть 10.117.х.х на скриншоте - линк к hideme.ru
                                          Сеть 10.0.3.0 - OpenVPN сервер в режиме PSK

                                          Если сеть  10.0.4.0 убрать из  Remote Network, но оставить в Advanced configuration - получаем
                                          "одностороннюю" доступность  10.0.4.0 ->10.0.2.0

                                          routes.PNG
                                          routes.PNG_thumb

                                          1 Reply Last reply Reply Quote 0
                                          • First post
                                            Last post
                                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
                                            [[user:consent.lead]]
                                            [[user:consent.not_received]]