OpenVPN - не пингуются хосты разных подсетей

Alexey2014

Здравствуйте!!!
Вопрос по OpenVPN:

Настроил OpenVPN по мануалу http://rootstore.in.ua/content/pfsense_openvpn
Туннель поднялся, но подсети не видят друг друга.

Здесь уже был подобный вопрос, прочитал комментарии, но так и не понял, как сделать, чтобы подсети видели друг друга?

Объясните, где и что надо подправить?

pigbrother

@Alexey2014:

Здравствуйте!!!
Вопрос по OpenVPN:

Настроил OpenVPN по мануалу http://rootstore.in.ua/content/pfsense_openvpn
Туннель поднялся, но подсети не видят друг друга.

Здесь уже был подобный вопрос, прочитал комментарии, но так и не понял, как сделать, чтобы подсети видели друг друга?

Объясните, где и что надо подправить?

Сталкивался с подобным при обновлении 2.0.3->2.1.

Вот что пишут в англоязычной ветке:

Do you have other policy-routing rules on LAN that pass "destination any" traffic out WAN, WAN2 etc?
From memory, 2.0.n generated rules in front of those to pass "intranet private" traffic to "default" gateway (the routing table), from where it would be routed across the OpenVPN…
This no longer happens in 2.1 (I guess it is more secure for pfSense to NOT write any "hidden" pass rules for you)
You might need to put a pass rule on LAN, above any policy-routing rules, to pass traffic from LAN to the OpenVPN tunnel subnet and remote subnet at the other end. Then that traffic will pass to the ordinary routing table, rather than being pushed out the WAN by a policy-routing rule.

https://forum.pfsense.org/index.php?topic=73825.msg403391#msg403391

Если создание такого правила поможет - отпишитесь.

Alexey2014

Не пойму в чем дело. Уже все перепробовал. Не видят подсети друг друга, хотя туннель поднимается.

Еще кто-нибудь посоветуйте, как исправить данную ситуацию?

werter

Схема сети, скрин настроек OpenVPN, скрин правил fw на LAN , OpenVPN , таблица маршрутизации при поднятом OpenVPN ?

Alexey2014

Настраивал все по мануалу  http://rootstore.in.ua/content/pfsense_openvpn.

Все настройки один в один, только IP адреса свои.

Правила те же самые.

werter

@Alexey2014:

Настраивал все по мануалу  http://rootstore.in.ua/content/pfsense_openvpn.

Все настройки один в один, только IP адреса свои.

Правила те же самые.

Схема сети ? Трудно нарисовать ? Скрины правил ? Здесь нет телепатов.

Alexey2014

На клиенте в правилах OpenVPN создоно правило, такое же как и на сервере. Все можно всем. Скрины правил сервера и схема:

werter

Издеваетесь  >:(?
Где адреса сетей (локальной, удаленной, ОпенВПН)?  Где скрины настроек OpenVPN?

P.s. После таких "упрашиваний" даже помогать нет желания :(
P.p.s. Ваш ответ напоминает это :

Alexey2014

Привожу настройки:

1. Настройка Server

2. Настройка Server (продолжение)

3. Настройка Server (Client Specific Override)

4. Правила на Server WAN

5. Правила на Server OpenVPN

6. Настройки Client

7. Маршрутизация на сервере после поднятия OpenVPN

8. Маршрутизация на клиенте после поднятия OpenVPN


Alexey2014

.jpg)
.jpg_thumb)

Alexey2014

.jpg)
.jpg_thumb)

Alexey2014


Alexey2014


werter

Вы пингом откуда проверяете ? С машин за pfsense с обеих сторон?  Проверьте непосредственно с обоих pfsense.
Да, и обязательно включительно логирование fw - мониторить что происходит.

P.s. Смените Server Mode на Remote Access (SSL/TLS) в настройках OpenVPN-сервера.

Alexey2014

Сделал как вы посоветовали: сменил Server Mode на Remote Access (SSL/TLS) в настройках OpenVPN-сервера.

В результате с клиента OpenVPN с PfSense пинг на сервер PfSense идет. Пинг с сервера PfSense на клиент не идет.

Если я пингую машины, находящиеся за PfSense, то они не пингуются ни со стороны сервера ни со стороны клиента.

Параллельно возник вопрос: как включить логирование для OpenVPN?

Где посмотреть полные логи подключений в PfSense?

В Status  -  System Logs слишком мало информации.

Может где еще можно посмотреть?

werter

Если я пингую машины, находящиеся за PfSense, то они не пингуются ни со стороны сервера ни со стороны клиента.

Что-то я не понял  :-
Т.е. pfsense не пингует свою собственную сеть ? У вас на всех машинах в шлюзом указан pfsense в обеих сетях ? Обязательно проверьте этот момент!

Alexey2014

@werter:

Если я пингую машины, находящиеся за PfSense, то они не пингуются ни со стороны сервера ни со стороны клиента.

Что-то я не понял  :-
Т.е. pfsense не пингует свою собственную сеть ? У вас на всех машинах в шлюзом указан pfsense в обеих сетях ? Обязательно проверьте этот момент!

У меня на всех машинах шлюзом указан PfSense в обоих подсетях. В обеих подсетях PfSense выполняют роли DHCP и DNS для своих сетей.

Прикладываю схемы сетей и схему OpenVPN.


Tr0tter

я извиняюсь, а у вас на компьютерах к которым вы пытаетесь получить пинг не установлен какой сетевой экран ? Какого нито касперского. У меня например из за этого в данный момент не пингуются из сети 192.168.5.0 в сеть 192.168.0.0 и наоборот, а стоит отключить касперского и всё сразу становится рабочим )

Alexey2014

@Tr0tter:

я извиняюсь, а у вас на компьютерах к которым вы пытаетесь получить пинг не установлен какой сетевой экран ? Какого нито касперского. У меня например из за этого в данный момент не пингуются из сети 192.168.5.0 в сеть 192.168.0.0 и наоборот, а стоит отключить касперского и всё сразу становится рабочим )

Стоит Eset Nod32, но в этом антивирусе отсутствует межсетевой экран.

Tr0tter

@Alexey2014:

Стоит Eset Nod32, но в этом антивирусе отсутствует межсетевой экран.

а виндовый что уже не считается ?