Openvpn pfsense - client, tomato - server (решено)
-
Есть железка "netgear 3500l v2" в качестве сервера openvpn, есть отдельный комп с pfsense 2.1.2-RELEASE (amd64) в качестве клиента, есть еще одна железка "netgear 3500l v2" в качестве еще одного клиента.
Задача: посадить все сети в одну, дабы работали сетевые принтеры, voip, перекидывались файлы из сетевых папок и работал DLNA.
Пробовал в режиме TUN, все работает, но не видится DLNA и скорость скачки файлов просто ужасная.На данный момент:
все 3 сети 192.168.20.0/24
на сервереAutomatically generated configuration
daemon
server-bridge 192.168.20.1 255.255.255.0 192.168.20.41 192.168.20.49
proto udp
port 1195
dev tap21
comp-lzo adaptive
keepalive 15 60
verb 3
client-config-dir ccd
client-to-client
push "dhcp-option DNS 192.168.20.1"
ca ca.crt
dh dh.pem
cert server.crt
key server.key
status-version 2
status statusCustom Configuration
на втором клиенте с томато, все подключается и работает
Automatically generated configuration
daemon
client
dev tap11
proto udp
remote *****dns.com 1195
resolv-retry 30
nobind
persist-key
persist-tun
comp-lzo adaptive
cipher BF-CBC
verb 3
ca ca.crt
cert client.crt
key client.key
status-version 2
status statusCustom Configuration
а с pfsense не могу подключиться
/var/etc/openvpn/client1.conf
dev ovpnc1
dev-type tap
dev-node /dev/tap1
writepid /var/run/openvpn_client1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher BF-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 10.86.20.6
tls-client
client
lport 0
management /var/etc/openvpn/client1.sock unix
remote ******dns.com 1195
ca /var/etc/openvpn/client1.ca
cert /var/etc/openvpn/client1.cert
key /var/etc/openvpn/client1.key
comp-lzoЭто local 10.86.20.6, я так понимаю wan?
log openvpn on pfsense
Apr 26 15:56:06 openvpn[63397]: OpenVPN 2.3.2 amd64-portbld-freebsd8.3 [SSL (OpenSSL)] [LZO] [eurephia] [MH] [IPv6] built on Mar 27 2014
Apr 26 15:56:06 openvpn[63397]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Apr 26 15:56:06 openvpn[63397]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
Apr 26 15:56:06 openvpn[63638]: UDPv4 link local (bound): [AF_INET]10..6
Apr 26 15:56:06 openvpn[63638]: UDPv4 link remote: [AF_INET]:1195
Apr 26 15:56:07 openvpn[63638]: Peer Connection Initiated with [AF_INET]**:1195
Apr 26 15:56:09 openvpn[63638]: TUN/TAP device ovpnc1 exists previously, keep at program end
Apr 26 15:56:09 openvpn[63638]: TUN/TAP device /dev/tap1 opened
Apr 26 15:56:09 openvpn[63638]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Apr 26 15:56:09 openvpn[63638]: /sbin/ifconfig ovpnc1 192.168.20.51 netmask 255.255.255.0 mtu 1500 up
Apr 26 15:56:09 openvpn[63638]: FreeBSD ifconfig failed: external program exited with error status: 1
Apr 26 15:56:09 openvpn[63638]: Exiting due to fatal errorчто не так и куда тыкнуть ? В консоле, к сожалению, не умею работать.
-
Tomato - версия от Shibby (http://tomato.groov.pl/) ? И нарисуйте схему сети с адресами, пож-та.
-
версия томато "Version 1.28 by shibby" "tomato-Netgear-3500Lv2-K26USB-1.28.RT-N5x–117-VPN.chk"
как нарисовать не знаю... попробую такinternet ---- => tomato (server) 192.168.20.1 => его компы (192.168.20.0/24 gateway 192.168.20.1)(предположим 192.168.20.2-40)
internet ---- => pfsense ( client1 ) 192.168.20.100 => его компы (192.168.20.0/24 gateway 192.168.20.100)((предположим 192.168.20.101-254)
internet ---- => tomato ( client2 ) 192.168.20.50 => его компы (192.168.20.0/24 gateway 192.168.20.50)(предположим 192.168.20.51-99) -
Один умный человек на другом форуме посоветовал убрать строки
dev ovpnc1
dev-node /dev/tap1я их убрал и соединение vpn появилось
потом обратно поставил, а соединение осталосьА для доступа ко всей сетке, пришлось бридж делать с ЛАН.
В общем все работает.Осталось 2 вопроса:
1: Что же это было?
2: Как разделить dhcp ? (ну что бы, допустим, server не давал адреса компам за client2, а то он же свой шлюз дает, чего мне не надо ) -
Как разделить dhcp ? (ну что бы, допустим, server не давал адреса компам за client2, а то он же свой шлюз дает, чего мне не надо )
В настройках Томато на LAN откл. DHCP. Далее , идете в Advanced - > DHCP / DNS Server (LAN) - > Dnsmasq Custom configuration :
interface=br0 dhcp-option=br0,3,192.168.x.x # указание шлюза по-умолчанию для DHCP-клиентов dhcp-range=br0,192.168.x.x,192.168.x.y,255.255.255.0,15m # диапазон адресов для DHCP-клиентов и длительность резервирования адреса dhcp-option=br0,6,8.8.8.8,8.8.4.4 # адреса DNS серверов, выдаваемые DHCP-клиентам
Адресацию и названия интерфейсов, ес-но, исп-те свои. Более подробно о конфигурировании Dnsmasq ищите в гугле.