OpenVPN всем разные настройки
-
в общем резюмирую: если в "Client Specific Overrides" поставить галку "Force All Client Generated Traffic Through The Tunnel" то на этом клиенте полность пропадают все пинги кроме пинга до сервера (10.0.8.1) если галки нету, то при поключении клиент пингует всех в vpn сети, остальной траффик идет через дефолтный шлюз, хотя при поднятии tun интерфейса нужные маршруты взлетают
winmasta@winmasta-home ~ $ sudo service openvpn stop * Stopping virtual private network daemon(s)... * Stopping VPN 'client' [ OK ] winmasta@winmasta-home ~ $ ip r default via 192.168.5.1 dev eth1 proto static 169.254.0.0/16 dev eth1 scope link metric 1000 172.16.250.0/24 dev vmnet1 proto kernel scope link src 172.16.250.1 192.168.5.0/24 dev eth1 proto kernel scope link src 192.168.5.2 metric 1 192.168.200.0/24 dev vmnet8 proto kernel scope link src 192.168.200.1 winmasta@winmasta-home ~ $ sudo service openvpn start * Starting virtual private network daemon(s)... * Autostarting VPN 'client' winmasta@winmasta-home ~ $ ip r default via 192.168.5.1 dev eth1 proto static 10.0.8.0/24 dev tun0 proto kernel scope link src 10.0.8.10 169.254.0.0/16 dev eth1 scope link metric 1000 172.16.250.0/24 dev vmnet1 proto kernel scope link src 172.16.250.1 192.168.1.0/24 via 10.0.8.1 dev tun0 192.168.5.0/24 dev eth1 proto kernel scope link src 192.168.5.2 metric 1 192.168.200.0/24 dev vmnet8 proto kernel scope link src 192.168.200.1повторюсь - в логах ничего не блокируется
-
наконец-то разобрался, чтобы все работало так ка мне нужно надо было
- ставить галку "Force all client generated …" в "Client specific ..."
- создать правило на OpenVPN интерфейсе
IPv4 TCP 10.0.8.10/24 * * * * none
для инетрнета
- создать правило
IPv4 ICMP echoreq 10.0.8.0/24 * * * * none
для пингов
ЗЫ что меня сбивало с толку - в логах не было ни слова о блокировках пакетов из vpn сети, подозреваю, что это логирование надо как-то специально включать
-
Продолжаю настройку, возник вопрос, как сделать локальную сеть ЗА клиентом доступной из локальной сети за сервером, возможно ли ?
Чтобы было понятно поясню - сервер в сети 192.168.1.0/24 (ну и 10.0.8.0/24) клиент в сети 192.168.5.0/24 (ну и так-же 10.0.8.0/24), от клиента 192.168.1.0/24 видно, а обратно - нет. -
Попробовать добавить на сервере на LAN правило
- LAN net * 192.168.5.0/24 * * none
-
2 winmasta
Продолжаю настройку, возник вопрос, как сделать локальную сеть ЗА клиентом доступной из локальной сети за сервером, возможно ли ?
Директива iroute на сервере
-
почитал - плохо понял, из локалки (за сервером) пингуется сам сервер по впн адресу (10.0.8.1), но не пингуются впн клиенты
-
почитал - плохо понял, из локалки (за сервером) пингуется сам сервер по впн адресу (10.0.8.1), но не пингуются впн клиенты
Пинговать\работать, вероятно, нужно не с адресами туннеля, а с адресами локальных сетей за сервером\клиентами.
-
почитал - плохо понял, из локалки (за сервером) пингуется сам сервер по впн адресу (10.0.8.1), но не пингуются впн клиенты
Пинговать\работать, вероятно, нужно не с адресами туннеля, а с адресами локальных сетей за сервером\клиентами.
согласен, но локальная сеть за клиентом недоступна
-
добавил клиенту
iroute 192.168.5.0 255.255.255.0;толку 0, трассировка из локалки за сервером и с сервера ведет на дефолтный гейтвей прова
-
вообще никакие манипуляции с впн сервером не привели к добавлению маршрута в сеть 192.168.5.0
-
вообще никакие манипуляции с впн сервером не привели к добавлению маршрута в сеть 192.168.5.0
А в Advanced configuration сервера
route 192.168.5.0 255.255.255.0есть?
-
вообще никакие манипуляции с впн сервером не привели к добавлению маршрута в сеть 192.168.5.0
А в Advanced configuration сервера
route 192.168.5.0 255.255.255.0есть?
пробовал :
route 192.168.5.0 255.255.255.0;
route "192.168.5.0 255.255.255.0";
push "route 192.168.5.0 255.255.255.0";на вкладке routes он стабильно не появляется
-
добавил клиенту
iroute 192.168.5.0 255.255.255.0;
толку 0, трассировка из локалки за сервером и с сервера ведет на дефолтный гейтвей прова
Какому клиенту?! Эту директиву "рисуют" на сервере в Client-specific configuration.
Хоть бы в гугл сподобились слазить…
-
добавил клиенту
iroute 192.168.5.0 255.255.255.0;
толку 0, трассировка из локалки за сервером и с сервера ведет на дефолтный гейтвей прова
Какому клиенту?! Эту директиву "рисуют" на сервере в Client-specific configuration.
Хоть бы в гугл сподобились слазить…
вот скрины настроек сервера и клиента
 -
еще
 -
и еще
 -
Смените Server mode на Remote Access (SSL\TLS).
-
Смените Server mode на Remote Access (SSL\TLS).
не помогло, с помощью tcpdump выяснил, что пакеты (например пинг) доходят до адресата (из-за клиента до локалки за сервером), на обратном пути, на сервере он их кидает на дефолтный роутер т.к. у него нет маршрута до сети за клиентом
 -
На последнем скрине у вас даже маршрута нет в 192.168.0.0\24.
Грохните все свои настройки и на сервере и на клиенте, поищите статьи по настройке OpenVPN на pfsense и внимательно перенастройте.
Там работы на 10-15 мин максимум. -
На последнем скрине у вас даже маршрута нет в 192.168.0.0\24.
Грохните все свои настройки и на сервере и на клиенте, поищите статьи по настройке OpenVPN на pfsense и внимательно перенастройте.
Там работы на 10-15 мин максимум.о том и речь, уже все перепробовал - маршрут не поднимается …
