OpenVPN всем разные настройки

winmasta

@werter:

@ winmasta

Правила fw на OpenVPN ? NAT трогали на pfsense ?

Включайте логирование fw на pfsense, переподключайтесь клиентом, запускайте тот же ping с клиента и смотрите логи fw на pfsense.

правила fw на OpenVPN (не знаю как получить их в тексте)

по поводу НАТ немного не понял что имеется ввиду под "трогал", порты пробрасывал, а более никак

логирование там же всегда включено - Status-System Logs, при подключении клиент не видит ни какую сеть кроме 10.0.8.0/24, если пытаешься пинговать в другую, то он не видит туда маршрут и, соответственно не выходит никуда, в логах по клиентскому ip пусто, мне кажется как-то не правильно выдаются маршруты, я так понимаю должен просто поменяться дефолтный и добавиться 10.0.8.0/24

werter

Разрешите на openvpn всё и всем (временно):

ipv4 * * * * *

Еще правила fw на LAN хотелось бы увидеть.

P.s. Цепляйте скрины здесь!

winmasta

@werter:

Разрешите на openvpn всё и всем (временно):

ipv4 * * * * *

Еще правила fw на LAN хотелось бы увидеть.

P.s. Цепляйте скрины здесь!


werter

Я не вижу на LAN правила , разрешающего прохождение пакетов из LAN в сеть за OpenVPN-клиентом.
А Вы видите ? Плюс, три последних правила или лишние или неверные.

winmasta

@werter:

Разрешите на openvpn всё и всем (временно):

ipv4 * * * * *

не помогло

winmasta

@werter:

Я не вижу на LAN правила , разрешающего прохождение пакетов из LAN в сеть за OpenVPN-клиентом.
А Вы видите ? Плюс, три последних правила или лишние или неверные.

добавил не помогло, три последних правила - первое снизу добавилось при установке, без двух других не работает интернет и пинг роутера
мне настойчиво кажется что дело именно в маршрутах

winmasta

вот какие маршруты сейчас на роутере


werter

добавил не помогло

Покажите как добавили.

winmasta

@werter:

добавил не помогло

Покажите как добавили.


werter

Откуда у вас NAT на OpenVPN ?! Далее, последнее правило - вы разрешили только TCP куда угодно - для чего и почему ?

И последнее :

Я не вижу на LAN правила , разрешающего прохождение пакетов из LAN в сеть за OpenVPN-клиентом.

Снова чтение между строк …

winmasta

@werter:

Откуда у вас NAT на OpenVPN ?!

чесно говоря, не понял о чем речь


winmasta

/25 конечно исправил на /24 но все равно не работает нифига

werter

Почему только TCP ? У нас ping стал по TCP работать ?

winmasta

@werter:

Почему только TCP ? У нас ping стал по TCP работать ?

чуть позже конечно проверю и icmp но для полноценной работы мне tcp как раз и нужен, а он не работает, и, ктстати, заметил вот еще что - клиенты openvpn не пингуются из локальной сети, а сервер пингуется при этом в логах нет никаких ошибок, трассировка говорит что покеты доходят до шлюза и потом тишина

werter

и, ктстати, заметил вот еще что - клиенты openvpn не пингуются из локальной сети

Почему только TCP ? У нас ping стал по TCP работать ?

Найдите связь.

winmasta

@werter:

и, ктстати, заметил вот еще что - клиенты openvpn не пингуются из локальной сети

Почему только TCP ? У нас ping стал по TCP работать ?

Найдите связь.

я разрешал icmp и все равно не работает, хотя сервер 10.0.8.1 пингуется вообще без всяких правил

winmasta

я так понимаю - если что-то блокируется, то появляются об этом сообщения в логах, так вот в логах вообщ ни слова о сети 10.0.8.0/24

werter

хотя сервер 10.0.8.1 пингуется вообще без всяких правил

Ну так это адрес Openvpn-интрефейса самого pfsense. С чего бы это ему не пинговаться?

P.s. Что у вас в кач-ве клиента?

winmasta

@werter:

хотя сервер 10.0.8.1 пингуется вообще без всяких правил

Ну так это адрес Openvpn-интрефейса самого pfsense. С чего бы это ему не пинговаться?

P.s. Что у вас в кач-ве клиента?

linux mint для тестов и 2 windows server машины (рабочие), клиенты друг друга пингуют а вот локалку нет и из локалки они тоже не пингуются

winmasta

в общем резюмирую: если в "Client Specific Overrides" поставить галку "Force All Client Generated Traffic Through The Tunnel" то на этом клиенте полность пропадают все пинги кроме пинга до сервера (10.0.8.1) если галки нету, то при поключении клиент пингует всех в vpn сети, остальной траффик идет через дефолтный шлюз, хотя при поднятии tun интерфейса нужные маршруты взлетают

winmasta@winmasta-home ~ $ sudo service openvpn stop
 * Stopping virtual private network daemon(s)...                                                                                                                         *   Stopping VPN 'client'                                                                                                                                       [ OK ] 
winmasta@winmasta-home ~ $ ip r
default via 192.168.5.1 dev eth1  proto static 
169.254.0.0/16 dev eth1  scope link  metric 1000 
172.16.250.0/24 dev vmnet1  proto kernel  scope link  src 172.16.250.1 
192.168.5.0/24 dev eth1  proto kernel  scope link  src 192.168.5.2  metric 1 
192.168.200.0/24 dev vmnet8  proto kernel  scope link  src 192.168.200.1 
winmasta@winmasta-home ~ $ sudo service openvpn start
 * Starting virtual private network daemon(s)...                                                                                                                         *   Autostarting VPN 'client'                                                                                                                                          winmasta@winmasta-home ~ $ ip r
default via 192.168.5.1 dev eth1  proto static 
10.0.8.0/24 dev tun0  proto kernel  scope link  src 10.0.8.10 
169.254.0.0/16 dev eth1  scope link  metric 1000 
172.16.250.0/24 dev vmnet1  proto kernel  scope link  src 172.16.250.1 
192.168.1.0/24 via 10.0.8.1 dev tun0 
192.168.5.0/24 dev eth1  proto kernel  scope link  src 192.168.5.2  metric 1 
192.168.200.0/24 dev vmnet8  proto kernel  scope link  src 192.168.200.1

повторюсь - в логах ничего не блокируется