OpenVPN всем разные настройки
-
Почему только TCP ? У нас ping стал по TCP работать ?
-
Почему только TCP ? У нас ping стал по TCP работать ?
чуть позже конечно проверю и icmp но для полноценной работы мне tcp как раз и нужен, а он не работает, и, ктстати, заметил вот еще что - клиенты openvpn не пингуются из локальной сети, а сервер пингуется при этом в логах нет никаких ошибок, трассировка говорит что покеты доходят до шлюза и потом тишина
-
и, ктстати, заметил вот еще что - клиенты openvpn не пингуются из локальной сети
Почему только TCP ? У нас ping стал по TCP работать ?
Найдите связь.
-
и, ктстати, заметил вот еще что - клиенты openvpn не пингуются из локальной сети
Почему только TCP ? У нас ping стал по TCP работать ?
Найдите связь.
я разрешал icmp и все равно не работает, хотя сервер 10.0.8.1 пингуется вообще без всяких правил
-
я так понимаю - если что-то блокируется, то появляются об этом сообщения в логах, так вот в логах вообщ ни слова о сети 10.0.8.0/24
-
хотя сервер 10.0.8.1 пингуется вообще без всяких правил
Ну так это адрес Openvpn-интрефейса самого pfsense. С чего бы это ему не пинговаться?
P.s. Что у вас в кач-ве клиента?
-
хотя сервер 10.0.8.1 пингуется вообще без всяких правил
Ну так это адрес Openvpn-интрефейса самого pfsense. С чего бы это ему не пинговаться?
P.s. Что у вас в кач-ве клиента?
linux mint для тестов и 2 windows server машины (рабочие), клиенты друг друга пингуют а вот локалку нет и из локалки они тоже не пингуются
-
в общем резюмирую: если в "Client Specific Overrides" поставить галку "Force All Client Generated Traffic Through The Tunnel" то на этом клиенте полность пропадают все пинги кроме пинга до сервера (10.0.8.1) если галки нету, то при поключении клиент пингует всех в vpn сети, остальной траффик идет через дефолтный шлюз, хотя при поднятии tun интерфейса нужные маршруты взлетают
winmasta@winmasta-home ~ $ sudo service openvpn stop * Stopping virtual private network daemon(s)... * Stopping VPN 'client' [ OK ] winmasta@winmasta-home ~ $ ip r default via 192.168.5.1 dev eth1 proto static 169.254.0.0/16 dev eth1 scope link metric 1000 172.16.250.0/24 dev vmnet1 proto kernel scope link src 172.16.250.1 192.168.5.0/24 dev eth1 proto kernel scope link src 192.168.5.2 metric 1 192.168.200.0/24 dev vmnet8 proto kernel scope link src 192.168.200.1 winmasta@winmasta-home ~ $ sudo service openvpn start * Starting virtual private network daemon(s)... * Autostarting VPN 'client' winmasta@winmasta-home ~ $ ip r default via 192.168.5.1 dev eth1 proto static 10.0.8.0/24 dev tun0 proto kernel scope link src 10.0.8.10 169.254.0.0/16 dev eth1 scope link metric 1000 172.16.250.0/24 dev vmnet1 proto kernel scope link src 172.16.250.1 192.168.1.0/24 via 10.0.8.1 dev tun0 192.168.5.0/24 dev eth1 proto kernel scope link src 192.168.5.2 metric 1 192.168.200.0/24 dev vmnet8 proto kernel scope link src 192.168.200.1повторюсь - в логах ничего не блокируется
-
наконец-то разобрался, чтобы все работало так ка мне нужно надо было
- ставить галку "Force all client generated …" в "Client specific ..."
- создать правило на OpenVPN интерфейсе
IPv4 TCP 10.0.8.10/24 * * * * none
для инетрнета
- создать правило
IPv4 ICMP echoreq 10.0.8.0/24 * * * * none
для пингов
ЗЫ что меня сбивало с толку - в логах не было ни слова о блокировках пакетов из vpn сети, подозреваю, что это логирование надо как-то специально включать
-
Продолжаю настройку, возник вопрос, как сделать локальную сеть ЗА клиентом доступной из локальной сети за сервером, возможно ли ?
Чтобы было понятно поясню - сервер в сети 192.168.1.0/24 (ну и 10.0.8.0/24) клиент в сети 192.168.5.0/24 (ну и так-же 10.0.8.0/24), от клиента 192.168.1.0/24 видно, а обратно - нет. -
Попробовать добавить на сервере на LAN правило
- LAN net * 192.168.5.0/24 * * none
-
2 winmasta
Продолжаю настройку, возник вопрос, как сделать локальную сеть ЗА клиентом доступной из локальной сети за сервером, возможно ли ?
Директива iroute на сервере
-
почитал - плохо понял, из локалки (за сервером) пингуется сам сервер по впн адресу (10.0.8.1), но не пингуются впн клиенты
-
почитал - плохо понял, из локалки (за сервером) пингуется сам сервер по впн адресу (10.0.8.1), но не пингуются впн клиенты
Пинговать\работать, вероятно, нужно не с адресами туннеля, а с адресами локальных сетей за сервером\клиентами.
-
почитал - плохо понял, из локалки (за сервером) пингуется сам сервер по впн адресу (10.0.8.1), но не пингуются впн клиенты
Пинговать\работать, вероятно, нужно не с адресами туннеля, а с адресами локальных сетей за сервером\клиентами.
согласен, но локальная сеть за клиентом недоступна
-
добавил клиенту
iroute 192.168.5.0 255.255.255.0;толку 0, трассировка из локалки за сервером и с сервера ведет на дефолтный гейтвей прова
-
вообще никакие манипуляции с впн сервером не привели к добавлению маршрута в сеть 192.168.5.0
-
вообще никакие манипуляции с впн сервером не привели к добавлению маршрута в сеть 192.168.5.0
А в Advanced configuration сервера
route 192.168.5.0 255.255.255.0есть?
-
вообще никакие манипуляции с впн сервером не привели к добавлению маршрута в сеть 192.168.5.0
А в Advanced configuration сервера
route 192.168.5.0 255.255.255.0есть?
пробовал :
route 192.168.5.0 255.255.255.0;
route "192.168.5.0 255.255.255.0";
push "route 192.168.5.0 255.255.255.0";на вкладке routes он стабильно не появляется
-
добавил клиенту
iroute 192.168.5.0 255.255.255.0;
толку 0, трассировка из локалки за сервером и с сервера ведет на дефолтный гейтвей прова
Какому клиенту?! Эту директиву "рисуют" на сервере в Client-specific configuration.
Хоть бы в гугл сподобились слазить…
