OpenVPN всем разные настройки

winmasta

наконец-то разобрался, чтобы все работало так ка мне нужно надо было

ставить галку "Force all client generated …" в "Client specific ..."
создать правило на OpenVPN интерфейсе

IPv4 TCP 10.0.8.10/24 * * * * none

для инетрнета

создать правило

IPv4 ICMP echoreq 10.0.8.0/24 * * * * none

для пингов

ЗЫ что меня сбивало с толку - в логах не было ни слова о блокировках пакетов из vpn сети, подозреваю, что это логирование надо как-то специально включать

winmasta

Продолжаю настройку, возник вопрос, как сделать локальную сеть ЗА клиентом доступной из локальной сети за сервером, возможно ли ?
Чтобы было понятно поясню - сервер в сети 192.168.1.0/24 (ну и 10.0.8.0/24) клиент в сети 192.168.5.0/24 (ну и так-же 10.0.8.0/24), от клиента 192.168.1.0/24 видно, а обратно - нет.

pigbrother

Попробовать добавить на сервере на LAN правило

LAN net * 192.168.5.0/24 * * none

werter

2 winmasta

Продолжаю настройку, возник вопрос, как сделать локальную сеть ЗА клиентом доступной из локальной сети за сервером, возможно ли ?

Директива iroute на сервере

winmasta

почитал - плохо понял, из локалки (за сервером) пингуется сам сервер по впн адресу (10.0.8.1), но не пингуются впн клиенты

pigbrother

@winmasta:

почитал - плохо понял, из локалки (за сервером) пингуется сам сервер по впн адресу (10.0.8.1), но не пингуются впн клиенты

Пинговать\работать, вероятно, нужно не с адресами туннеля, а с адресами локальных сетей за сервером\клиентами.

winmasta

@pigbrother:

@winmasta:

почитал - плохо понял, из локалки (за сервером) пингуется сам сервер по впн адресу (10.0.8.1), но не пингуются впн клиенты

Пинговать\работать, вероятно, нужно не с адресами туннеля, а с адресами локальных сетей за сервером\клиентами.

согласен, но локальная сеть за клиентом недоступна

winmasta

добавил клиенту

iroute 192.168.5.0 255.255.255.0;

толку 0, трассировка из локалки за сервером и с сервера ведет на дефолтный гейтвей прова

winmasta

вообще никакие манипуляции с впн сервером не привели к добавлению маршрута в сеть 192.168.5.0

pigbrother

@winmasta:

вообще никакие манипуляции с впн сервером не привели к добавлению маршрута в сеть 192.168.5.0

А в Advanced configuration сервера
route 192.168.5.0 255.255.255.0

есть?

winmasta

@pigbrother:

@winmasta:

вообще никакие манипуляции с впн сервером не привели к добавлению маршрута в сеть 192.168.5.0

А в Advanced configuration сервера
route 192.168.5.0 255.255.255.0

есть?

пробовал :

route 192.168.5.0 255.255.255.0;
route "192.168.5.0 255.255.255.0";
push "route 192.168.5.0 255.255.255.0";

на вкладке routes он стабильно не появляется

werter

добавил клиенту

iroute 192.168.5.0 255.255.255.0;

толку 0, трассировка из локалки за сервером и с сервера ведет на дефолтный гейтвей прова

Какому клиенту?! Эту директиву "рисуют" на сервере в Client-specific configuration.

Хоть бы в гугл сподобились слазить…

winmasta

@werter:

добавил клиенту

iroute 192.168.5.0 255.255.255.0;

толку 0, трассировка из локалки за сервером и с сервера ведет на дефолтный гейтвей прова

Какому клиенту?! Эту директиву "рисуют" на сервере в Client-specific configuration.

Хоть бы в гугл сподобились слазить…

вот скрины настроек сервера и клиента

![Снимок экрана от 2014-05-28 22:51:21.png](/public/imported_attachments/1/Снимок экрана от 2014-05-28 22:51:21.png)
![Снимок экрана от 2014-05-28 22:51:21.png_thumb](/public/imported_attachments/1/Снимок экрана от 2014-05-28 22:51:21.png_thumb)
![Снимок экрана от 2014-05-28 22:51:25.png](/public/imported_attachments/1/Снимок экрана от 2014-05-28 22:51:25.png)
![Снимок экрана от 2014-05-28 22:51:25.png_thumb](/public/imported_attachments/1/Снимок экрана от 2014-05-28 22:51:25.png_thumb)
![Снимок экрана от 2014-05-28 22:51:28.png](/public/imported_attachments/1/Снимок экрана от 2014-05-28 22:51:28.png)
![Снимок экрана от 2014-05-28 22:51:28.png_thumb](/public/imported_attachments/1/Снимок экрана от 2014-05-28 22:51:28.png_thumb)

winmasta

еще

![Снимок экрана от 2014-05-28 22:51:30.png](/public/imported_attachments/1/Снимок экрана от 2014-05-28 22:51:30.png)
![Снимок экрана от 2014-05-28 22:51:30.png_thumb](/public/imported_attachments/1/Снимок экрана от 2014-05-28 22:51:30.png_thumb)
![Снимок экрана от 2014-05-28 22:51:37.png](/public/imported_attachments/1/Снимок экрана от 2014-05-28 22:51:37.png)
![Снимок экрана от 2014-05-28 22:51:37.png_thumb](/public/imported_attachments/1/Снимок экрана от 2014-05-28 22:51:37.png_thumb)
![Снимок экрана от 2014-05-28 22:51:39.png](/public/imported_attachments/1/Снимок экрана от 2014-05-28 22:51:39.png)
![Снимок экрана от 2014-05-28 22:51:39.png_thumb](/public/imported_attachments/1/Снимок экрана от 2014-05-28 22:51:39.png_thumb)

winmasta

и еще

![Снимок экрана от 2014-05-28 22:53:21.png](/public/imported_attachments/1/Снимок экрана от 2014-05-28 22:53:21.png)
![Снимок экрана от 2014-05-28 22:53:21.png_thumb](/public/imported_attachments/1/Снимок экрана от 2014-05-28 22:53:21.png_thumb)
![Снимок экрана от 2014-05-28 22:53:24.png](/public/imported_attachments/1/Снимок экрана от 2014-05-28 22:53:24.png)
![Снимок экрана от 2014-05-28 22:53:24.png_thumb](/public/imported_attachments/1/Снимок экрана от 2014-05-28 22:53:24.png_thumb)
![Снимок экрана от 2014-05-28 22:53:27.png](/public/imported_attachments/1/Снимок экрана от 2014-05-28 22:53:27.png)
![Снимок экрана от 2014-05-28 22:53:27.png_thumb](/public/imported_attachments/1/Снимок экрана от 2014-05-28 22:53:27.png_thumb)
![Снимок экрана от 2014-05-28 22:53:28.png](/public/imported_attachments/1/Снимок экрана от 2014-05-28 22:53:28.png)
![Снимок экрана от 2014-05-28 22:53:28.png_thumb](/public/imported_attachments/1/Снимок экрана от 2014-05-28 22:53:28.png_thumb)

werter

Смените Server mode на Remote Access (SSL\TLS).

winmasta

@werter:

Смените Server mode на Remote Access (SSL\TLS).

не помогло, с помощью tcpdump выяснил, что пакеты (например пинг) доходят до адресата (из-за клиента до локалки за сервером), на обратном пути, на сервере он их кидает на дефолтный роутер т.к. у него нет маршрута до сети за клиентом

![Снимок экрана от 2014-05-29 08:52:42.png](/public/imported_attachments/1/Снимок экрана от 2014-05-29 08:52:42.png)
![Снимок экрана от 2014-05-29 08:52:42.png_thumb](/public/imported_attachments/1/Снимок экрана от 2014-05-29 08:52:42.png_thumb)

werter

На последнем скрине у вас даже маршрута нет в 192.168.0.0\24.

Грохните все свои настройки и на сервере и на клиенте, поищите статьи по настройке OpenVPN на pfsense и внимательно перенастройте.
Там работы на 10-15 мин максимум.

winmasta

@werter:

На последнем скрине у вас даже маршрута нет в 192.168.0.0\24.

Грохните все свои настройки и на сервере и на клиенте, поищите статьи по настройке OpenVPN на pfsense и внимательно перенастройте.
Там работы на 10-15 мин максимум.

о том и речь, уже все перепробовал - маршрут не поднимается …

winmasta

нашел таки в чем дело:

если сервер включить в режим peer-to-peer (в режиме remote access не работает), то появляется возможность вбить remote networks, НО судя по ЭТОМУ посту там какие-то косяки в новой версии и директива не отрабатывает правильно, поэтому в настройках сервера нужо в поле advanced прописать этот маршрут со шлюзом, в моем случае - route 192.168.1.0 255.255.255.0 10.0.8.1, в client specific overrides iroute и нужную подсеть с маской, в моем случае iroute 192.168.1.0 255.255.255.0