OpenVPN - не пингуются хосты разных подсетей
-
Здравствуйте!!!
Вопрос по OpenVPN:Настроил OpenVPN по мануалу http://rootstore.in.ua/content/pfsense_openvpn
Туннель поднялся, но подсети не видят друг друга.Здесь уже был подобный вопрос, прочитал комментарии, но так и не понял, как сделать, чтобы подсети видели друг друга?
Объясните, где и что надо подправить?
Сталкивался с подобным при обновлении 2.0.3->2.1.
Вот что пишут в англоязычной ветке:
Do you have other policy-routing rules on LAN that pass "destination any" traffic out WAN, WAN2 etc?
From memory, 2.0.n generated rules in front of those to pass "intranet private" traffic to "default" gateway (the routing table), from where it would be routed across the OpenVPN…
This no longer happens in 2.1 (I guess it is more secure for pfSense to NOT write any "hidden" pass rules for you)
You might need to put a pass rule on LAN, above any policy-routing rules, to pass traffic from LAN to the OpenVPN tunnel subnet and remote subnet at the other end. Then that traffic will pass to the ordinary routing table, rather than being pushed out the WAN by a policy-routing rule.https://forum.pfsense.org/index.php?topic=73825.msg403391#msg403391
Если создание такого правила поможет - отпишитесь.
-
Не пойму в чем дело. Уже все перепробовал. Не видят подсети друг друга, хотя туннель поднимается.
Еще кто-нибудь посоветуйте, как исправить данную ситуацию?
-
Схема сети, скрин настроек OpenVPN, скрин правил fw на LAN , OpenVPN , таблица маршрутизации при поднятом OpenVPN ?
-
Настраивал все по мануалу http://rootstore.in.ua/content/pfsense_openvpn.
Все настройки один в один, только IP адреса свои.
Правила те же самые.
-
Настраивал все по мануалу http://rootstore.in.ua/content/pfsense_openvpn.
Все настройки один в один, только IP адреса свои.
Правила те же самые.
Схема сети ? Трудно нарисовать ? Скрины правил ? Здесь нет телепатов.
-
На клиенте в правилах OpenVPN создоно правило, такое же как и на сервере. Все можно всем. Скрины правил сервера и схема:
-
Издеваетесь >:(?
Где адреса сетей (локальной, удаленной, ОпенВПН)? Где скрины настроек OpenVPN?P.s. После таких "упрашиваний" даже помогать нет желания :(
P.p.s. Ваш ответ напоминает это :
-
Привожу настройки:
1. Настройка Server
2. Настройка Server (продолжение)
3. Настройка Server (Client Specific Override)
4. Правила на Server WAN
5. Правила на Server OpenVPN
6. Настройки Client
7. Маршрутизация на сервере после поднятия OpenVPN
8. Маршрутизация на клиенте после поднятия OpenVPN
![Настройки Server.jpg_thumb](/public/imported_attachments/1/Настройки Server.jpg_thumb)
![Настройки Server.jpg](/public/imported_attachments/1/Настройки Server.jpg) -
![Настройки Server (продолжение).jpg](/public/imported_attachments/1/Настройки Server (продолжение).jpg)
![Настройки Server (продолжение).jpg_thumb](/public/imported_attachments/1/Настройки Server (продолжение).jpg_thumb) -
![Настройки Server (Client Specific Override).jpg](/public/imported_attachments/1/Настройки Server (Client Specific Override).jpg)
![Настройки Server (Client Specific Override).jpg_thumb](/public/imported_attachments/1/Настройки Server (Client Specific Override).jpg_thumb)
![Правила на Server WAN.jpg](/public/imported_attachments/1/Правила на Server WAN.jpg)
![Правила на Server WAN.jpg_thumb](/public/imported_attachments/1/Правила на Server WAN.jpg_thumb)
![Правила на Server OpenVPN.jpg](/public/imported_attachments/1/Правила на Server OpenVPN.jpg)
![Правила на Server OpenVPN.jpg_thumb](/public/imported_attachments/1/Правила на Server OpenVPN.jpg_thumb) -
![Настройки Client.jpg](/public/imported_attachments/1/Настройки Client.jpg)
![Настройки Client.jpg_thumb](/public/imported_attachments/1/Настройки Client.jpg_thumb) -
![Routing на Server после поднятия OpenVPN.jpg](/public/imported_attachments/1/Routing на Server после поднятия OpenVPN.jpg)
![Routing на Server после поднятия OpenVPN.jpg_thumb](/public/imported_attachments/1/Routing на Server после поднятия OpenVPN.jpg_thumb)
![Routing на Client после поднятия OpenVPN.jpg](/public/imported_attachments/1/Routing на Client после поднятия OpenVPN.jpg)
![Routing на Client после поднятия OpenVPN.jpg_thumb](/public/imported_attachments/1/Routing на Client после поднятия OpenVPN.jpg_thumb) -
Вы пингом откуда проверяете ? С машин за pfsense с обеих сторон? Проверьте непосредственно с обоих pfsense.
Да, и обязательно включительно логирование fw - мониторить что происходит.P.s. Смените Server Mode на Remote Access (SSL/TLS) в настройках OpenVPN-сервера.
-
Сделал как вы посоветовали: сменил Server Mode на Remote Access (SSL/TLS) в настройках OpenVPN-сервера.
В результате с клиента OpenVPN с PfSense пинг на сервер PfSense идет. Пинг с сервера PfSense на клиент не идет.
Если я пингую машины, находящиеся за PfSense, то они не пингуются ни со стороны сервера ни со стороны клиента.
Параллельно возник вопрос: как включить логирование для OpenVPN?
Где посмотреть полные логи подключений в PfSense?
В Status - System Logs слишком мало информации.
Может где еще можно посмотреть?
-
Если я пингую машины, находящиеся за PfSense, то они не пингуются ни со стороны сервера ни со стороны клиента.
Что-то я не понял :-
Т.е. pfsense не пингует свою собственную сеть ? У вас на всех машинах в шлюзом указан pfsense в обеих сетях ? Обязательно проверьте этот момент! -
Если я пингую машины, находящиеся за PfSense, то они не пингуются ни со стороны сервера ни со стороны клиента.
Что-то я не понял :-
Т.е. pfsense не пингует свою собственную сеть ? У вас на всех машинах в шлюзом указан pfsense в обеих сетях ? Обязательно проверьте этот момент!У меня на всех машинах шлюзом указан PfSense в обоих подсетях. В обеих подсетях PfSense выполняют роли DHCP и DNS для своих сетей.
Прикладываю схемы сетей и схему OpenVPN.
![Схема сети OpenVPN.jpg](/public/imported_attachments/1/Схема сети OpenVPN.jpg)
![Схема сети OpenVPN.jpg_thumb](/public/imported_attachments/1/Схема сети OpenVPN.jpg_thumb) -
я извиняюсь, а у вас на компьютерах к которым вы пытаетесь получить пинг не установлен какой сетевой экран ? Какого нито касперского. У меня например из за этого в данный момент не пингуются из сети 192.168.5.0 в сеть 192.168.0.0 и наоборот, а стоит отключить касперского и всё сразу становится рабочим )
-
я извиняюсь, а у вас на компьютерах к которым вы пытаетесь получить пинг не установлен какой сетевой экран ? Какого нито касперского. У меня например из за этого в данный момент не пингуются из сети 192.168.5.0 в сеть 192.168.0.0 и наоборот, а стоит отключить касперского и всё сразу становится рабочим )
Стоит Eset Nod32, но в этом антивирусе отсутствует межсетевой экран.
-
Стоит Eset Nod32, но в этом антивирусе отсутствует межсетевой экран.
а виндовый что уже не считается ?
-
Стоит Eset Nod32, но в этом антивирусе отсутствует межсетевой экран.
а виндовый что уже не считается ?
Виндовый у меня отключен.