OpenVPN всем разные настройки

winmasta

ip r без галочки "force all client generated traffic through the tunnel"

default via 192.168.5.1 dev eth1  proto static 
10.0.8.0/24 dev tun0  proto kernel  scope link  src 10.0.8.10 
169.254.0.0/16 dev eth1  scope link  metric 1000 
172.16.250.0/24 dev vmnet1  proto kernel  scope link  src 172.16.250.1 
192.168.5.0/24 dev eth1  proto kernel  scope link  src 192.168.5.2  metric 1 
192.168.200.0/24 dev vmnet8  proto kernel  scope link  src 192.168.200.1

ip r с галочкой "force all client generated traffic through the tunnel"

* 0.0.0.0/1 via 10.0.8.1 dev tun0
default via 192.168.5.1 dev eth1  proto static 
10.0.8.0/24 dev tun0  proto kernel  scope link  src 10.0.8.10 
* 109.194.33.177 via 192.168.5.1 dev eth1 
* 128.0.0.0/1 via 10.0.8.1 dev tun0
169.254.0.0/16 dev eth1  scope link  metric 1000 
172.16.250.0/24 dev vmnet1  proto kernel  scope link  src 172.16.250.1 
192.168.5.0/24 dev eth1  proto kernel  scope link  src 192.168.5.2  metric 1 
192.168.200.0/24 dev vmnet8  proto kernel  scope link  src 192.168.200.1

звездочками отмечены изменения, и при этом доступна только сеть впн и больше ничего

werter

@ winmasta

Правила fw на OpenVPN ? NAT трогали на pfsense ?

Включайте логирование fw на pfsense, переподключайтесь клиентом, запускайте тот же ping с клиента и смотрите логи fw на pfsense.

winmasta

@werter:

@ winmasta

Правила fw на OpenVPN ? NAT трогали на pfsense ?

Включайте логирование fw на pfsense, переподключайтесь клиентом, запускайте тот же ping с клиента и смотрите логи fw на pfsense.

правила fw на OpenVPN (не знаю как получить их в тексте)

по поводу НАТ немного не понял что имеется ввиду под "трогал", порты пробрасывал, а более никак

логирование там же всегда включено - Status-System Logs, при подключении клиент не видит ни какую сеть кроме 10.0.8.0/24, если пытаешься пинговать в другую, то он не видит туда маршрут и, соответственно не выходит никуда, в логах по клиентскому ip пусто, мне кажется как-то не правильно выдаются маршруты, я так понимаю должен просто поменяться дефолтный и добавиться 10.0.8.0/24

werter

Разрешите на openvpn всё и всем (временно):

ipv4 * * * * *

Еще правила fw на LAN хотелось бы увидеть.

P.s. Цепляйте скрины здесь!

winmasta

@werter:

Разрешите на openvpn всё и всем (временно):

ipv4 * * * * *

Еще правила fw на LAN хотелось бы увидеть.

P.s. Цепляйте скрины здесь!

![Снимок экрана от 2014-05-16 20:33:02.png](/public/imported_attachments/1/Снимок экрана от 2014-05-16 20:33:02.png)
![Снимок экрана от 2014-05-16 20:33:02.png_thumb](/public/imported_attachments/1/Снимок экрана от 2014-05-16 20:33:02.png_thumb)

werter

Я не вижу на LAN правила , разрешающего прохождение пакетов из LAN в сеть за OpenVPN-клиентом.
А Вы видите ? Плюс, три последних правила или лишние или неверные.

winmasta

@werter:

Разрешите на openvpn всё и всем (временно):

ipv4 * * * * *

не помогло

winmasta

@werter:

Я не вижу на LAN правила , разрешающего прохождение пакетов из LAN в сеть за OpenVPN-клиентом.
А Вы видите ? Плюс, три последних правила или лишние или неверные.

добавил не помогло, три последних правила - первое снизу добавилось при установке, без двух других не работает интернет и пинг роутера
мне настойчиво кажется что дело именно в маршрутах

winmasta

вот какие маршруты сейчас на роутере

![Снимок экрана от 2014-05-17 13:46:42.png](/public/imported_attachments/1/Снимок экрана от 2014-05-17 13:46:42.png)
![Снимок экрана от 2014-05-17 13:46:42.png_thumb](/public/imported_attachments/1/Снимок экрана от 2014-05-17 13:46:42.png_thumb)

werter

добавил не помогло

Покажите как добавили.

winmasta

@werter:

добавил не помогло

Покажите как добавили.

![Снимок экрана от 2014-05-19 11:45:16.png](/public/imported_attachments/1/Снимок экрана от 2014-05-19 11:45:16.png)
![Снимок экрана от 2014-05-19 11:45:16.png_thumb](/public/imported_attachments/1/Снимок экрана от 2014-05-19 11:45:16.png_thumb)

werter

Откуда у вас NAT на OpenVPN ?! Далее, последнее правило - вы разрешили только TCP куда угодно - для чего и почему ?

И последнее :

Я не вижу на LAN правила , разрешающего прохождение пакетов из LAN в сеть за OpenVPN-клиентом.

Снова чтение между строк …

winmasta

@werter:

Откуда у вас NAT на OpenVPN ?!

чесно говоря, не понял о чем речь

![Снимок экрана от 2014-05-19 14:18:23.png](/public/imported_attachments/1/Снимок экрана от 2014-05-19 14:18:23.png)
![Снимок экрана от 2014-05-19 14:18:23.png_thumb](/public/imported_attachments/1/Снимок экрана от 2014-05-19 14:18:23.png_thumb)
![Снимок экрана от 2014-05-19 14:18:24.png](/public/imported_attachments/1/Снимок экрана от 2014-05-19 14:18:24.png)
![Снимок экрана от 2014-05-19 14:18:24.png_thumb](/public/imported_attachments/1/Снимок экрана от 2014-05-19 14:18:24.png_thumb)

winmasta

/25 конечно исправил на /24 но все равно не работает нифига

werter

Почему только TCP ? У нас ping стал по TCP работать ?

winmasta

@werter:

Почему только TCP ? У нас ping стал по TCP работать ?

чуть позже конечно проверю и icmp но для полноценной работы мне tcp как раз и нужен, а он не работает, и, ктстати, заметил вот еще что - клиенты openvpn не пингуются из локальной сети, а сервер пингуется при этом в логах нет никаких ошибок, трассировка говорит что покеты доходят до шлюза и потом тишина

werter

и, ктстати, заметил вот еще что - клиенты openvpn не пингуются из локальной сети

Почему только TCP ? У нас ping стал по TCP работать ?

Найдите связь.

winmasta

@werter:

и, ктстати, заметил вот еще что - клиенты openvpn не пингуются из локальной сети

Почему только TCP ? У нас ping стал по TCP работать ?

Найдите связь.

я разрешал icmp и все равно не работает, хотя сервер 10.0.8.1 пингуется вообще без всяких правил

winmasta

я так понимаю - если что-то блокируется, то появляются об этом сообщения в логах, так вот в логах вообщ ни слова о сети 10.0.8.0/24

werter

хотя сервер 10.0.8.1 пингуется вообще без всяких правил

Ну так это адрес Openvpn-интрефейса самого pfsense. С чего бы это ему не пинговаться?

P.s. Что у вас в кач-ве клиента?