Объединение 3-х сетей и подключение компов
-
Ну, например, в настройках подключения клиента только эти 2 опции в выпадающем списке.
Если есть другие варианты подскажите как их отыскать, я ж только учусь… -
Верно, посыпаю голову пеплом.
Глупое предложение, но попробуйте :
Сервер в Remote access (ssl\tls) , клиент - p2p (ssl\tls). CA и сертификаты для клиента брать , ес-но, с сервера. -
В общем, проблема мне кажется вот в чем, хотя может я чего-то не понимаю в маршрутизации:
в таблицах маршрутизации маршрут сервера в сеть впн прописан как 11.0.0.0/24 Gateway 11.0.0.2, а маршрут клиента в сеть сервера как 11.0.0.1/32 Gateway 11.0.0.5. Так вот, сети получается разные в маршрутах, но почему??? Я в настройках везде указал Tunnel Network 11.0.0.0/24, в Advanced "route <сеть (сервера для клиента)/(клиента для сервера)> 255.255.255.0" . Добавление в Advanced "route 11.0.0.0 255.255.255.0" ничего не дает, маршрут появляется но через него трафик не ходит. Да, и с клиента сеть сервера пингуется, а вот с сервера клиентская нет. Итог, проблема маршрутизации при подключении типа Peer-to-Peer (SSL/TLS) поскольку при аналогичных настройках Peer-to-Peer (Shared Key) все работает. Как решить проблему может кто подсказать? Может нужно как-то сообщить разработчику о глюке (… или это не глюк, а у меня руки кривоваты). Или не заморачиваться и пользоваться Peer-to-Peer (Shared Key). Кстати, для удаленных пользователей нормально работает Remote Access (SSL/TLS) и не приходится каждый раз вводить имя пользователя и пароль.
К стати, сделал и по вашему совету:Глупое предложение, но попробуйте :
Сервер в Remote access (ssl\tls) , клиент - p2p (ssl\tls). CA и сертификаты для клиента брать , ес-но, с сервера.Те же яйца только в профиль… Коннект есть, пинги только от клиента в сеть сервера.
-
А если на сервере на LAN повыше добавить правило вида
IPv4 * LAN net * х.х.х.х/уу * * none
где х.х.х.х/уу - сеть клиента?
-
Вообще LAN сейчас полностью открыт. Ну и дело в том, как я уже писал, что пинги с pfSense клиента ходят в сеть сервера, с компов в сети клиента нет. И с сервера вообще ничего не ходит к клиенту.
-
Помнится мне , что в последних версиях pfsense на LAN нужно явно писать (в случае VPN) к какой сети (и через какой шлюз - неуверен) даете доступ.
Так что послушайте совета ув. pigbrother . Просто открыть на LAN доступ уже "не канает".P.s. Совет : включайте логирование fw и внимательно смотрите какой трафик блокируется.
-
Это не мой совет, это совет сообщества, включая уважаемго rubic, вас, werter и многих других.
Вообще с переходом на 2.1.х работа OVPN изменилась и трудно сказать, что в лучшую сторону. Англоязычные ветки тоже полны сообщений о проблемах с OVPN.
Боюсь показаться ретроградом, но в головном офисе после экспериментов с версиями от 2.1.х до тестовой 2.2 вообще оставил в продакшн в качестве OVPN-сервера 2.0.3 как максимально предсказуемую и беспроблемную. -
Ну, в принципе, дать доступ явно, не проблема, НО, все же, при подключении с помощью Shared Key трафик то бегает. Т.е. разница ТОЛЬКО в способе аутентификации, получается фаервол тут ни при чем, он же является независимым компонентом. А вот настройки маршрутизации по умолчанию для разных способов подключения теоретически могут быть разными (зависит от разработчика). Опять же, таблицы маршрутов правильные и практически одинаковые для обоих способов подключения (если верить тому, что показывает pfSense), и от клиента то траф. ходит, значит, опять таки, ФВ ни при чем.
-
Я тоже начинал с PSK. Потом пришлось перейти на PKI. И приведенное выше правило мне помогло
Опять же, таблицы маршрутов правильные и практически одинаковые для обоих способов подключения (если верить тому, что показывает pfSense), и от клиента то траф. ходит, значит, опять таки, ФВ ни при чем.
OVPN в 2.1.х - своеобразный квест. -
ОК, спасибо, буду пробовать…
Попробовал, ничего не дало. Может еще какие-то правила Вы применяли? Я поставил предложенное в самый верх, пинги ходят так же только с клиента к серверу и только с самого pfSense. -
P.s. Совет : включайте логирование fw и внимательно смотрите какой трафик блокируется.
!!!
-
Да не в ФВ это дело! Там какая-то беда с маршрутами, причем это не видно в таблице маршрутов. Все же работает с другими настройками аутентификации, как это может быть связано с ФВ???
Короче интересная штука творится! ВПН сеть 11.0.0.0/24, сервер получает адреса 11.0.0.2 - шлюз, 11.0.0.1 - локальный адрес, клиент соответственно 11.0.0.5 - шлюз и 11.0.0.6 - адрес. Так вот, при трассировке от клиента адреса 11.0.0.5 первый хоп идет на 11.0.0.1, т.е. лок. адрес сервера, дальше глухо. А вот с сервера пинг его же шлюза 11.0.0.2 вообще не проходит. Т.е. таки проблемы маршрутов, но почему ???
Кстати! А порт для SSL/TLS открывать не надо в ФВ? -
Кстати! А порт для SSL/TLS открывать не надо в ФВ?
Вы будете первым в мире , кто это сделает.
-
Ну тогда остается ждать нового релиза, поскольку текущий видимо не стабилен в плане OpenVPN…
-
А вы на сервере в Client Specific Overrides директиву iroute добавили для того чтобы сеть за сервером увидела сеть за клиентом ?
-
Разобрался в Client Specific Overrides в "Common name" нужно было указать имя указанные в сертификате.
Сети подключились трафик бегает, НО )))))). Теперь клиенты, которые подключаются с компов не видят вторую сеть, т.е. видят только сеть сервера, без сети клиента pfSense. Маршруты не трогал. Может и тут что-то куда-то прописать надо? -
В общем все запустилось! Спасибо большое за Вашу помощь! Теперь хоть мануал написать могу )))
-
В общем все запустилось! Спасибо большое за Вашу помощь! Теперь хоть мануал написать могу )))
Дерзайте!
Тема весьма актуальна, толковый мануал с картинками позволит избежать регулярно появляющихся на форуме вопросов. -
В общем все запустилось! Спасибо большое за Вашу помощь! Теперь хоть мануал написать могу )))
Будьте добры поделитесь маньюалом, темболее в версии 2.3.4
