OpenVPN и 3 филиала (маршрутизация) :РЕШЕНО

Ficus666

Добрый день.
Прошу дилетанту помочь разобраться. :-[
Есть 3 офиса за PfSense
А- 192.168.0.1/24
B- 192.168.0.2/24
C- 192.168.0.3/24

Офис "А" - центральный. На нем подняты 2 OpenVPN сервера (на разных портах с разными тунельными сетками) для каждого филиала. (site-to-site)
Офис "А" видит всех.
Офисе "В" видит только "А" и "В"
Офисе "С" видит только "С" и "А"
Нужно что бы все друг друга видели.

Какие есть пути решения?
-Прописать(добавить) маршруты - (Где?)
-Поменять схему подключения (Один сервер OpenVPN на "Remote access SSL/TLS" и 2 клиента)

---

Есть куча мануалов и тем по настройке OpenVPN (site-to-site) для 2хPfsense, а вот как объединить 3хPfsense и более - НЕТ. :(
Поэтому подробное описание с планом действий - это самое ТО. :)
Заранее благодарен.

---

Смотрел, но так и не разобрался:
[url=https://forum.pfsense.org/index.php/topic,58517.0.html]https://forum.pfsense.org/index.php/topic,58517.0.html
https://forum.pfsense.org/index.php?topic=58329.15

dvserg

Для начала подсети разными сделайте. У вас у всех одна подсеть.

Ficus666

Простите. Был не внимателен при написании. :-[

Подсети там такие:
А- 192.168.1.0/24
B- 192.168.2.0/24
C- 192.168.3.0/24

1. Вариант №1 (стат маршруты)
Как временное решение получилось связать все путем добавления стат маршрута в офисах через "Execute Shell command"
Офис С - (route add -net 192.168.2.0/24 192.168.1.0)
Офис В - (route add -net 192.168.3.0/24 192.168.1.0)
Но это до перезагрузки :(
Подскажите пжлст где в Pfsense можно прописать/добавить стат маршрут так, что бы он не затирался ?

2. Вариант №2 (Один openvpn сервер)
Попытался настроить так:
В офисе А поднял openvpn сервер Remote Access (SSL/TLS), настроил.
создал openvpn сервер
В настойках openvpn сервера поставил галку (Allow communication between clients connected to this server), что бы клиенты видели друг друга.
создал сервер сертификатов
создал сертификаты (сервер, клиент-1, клиент-2)
создал ему Certificate Revocation (пустой :))

Офис (В и С) - создаю клиентов (Remote Access (SSL/TLS)) соответственно.
Проблема:
Как передать/подсунуть в каждый офис сертификаты? (как настроить клиентов?)
и
Где у Pfsense лежат ф-лы от openvpn ?

pigbrother

Прописать:

На клиентах в Advanced configuration
route 192.168.Х.0/24 255.255.255.0

или, если на сервере используется конфигурация PKI -  в Client Specific Overrides
push route "192.168.Х.0 255.255.255.0"

192.168.Х.0 - сеть удаленного филиала

Как передать/подсунуть в каждый офис сертификаты? (как настроить клиентов?)
Файлы сертификатов - обычные текстовые файлы. Открыть блокнотом и Copy\Paste

Где у Pfsense лежат ф-лы от openvpn ?
/var/etc/openvpn
/var/etc/openvpn-csc

Но прямое их редактирование не имеет смысла, для дополнительных директив openvpn используйте поля Advanced configuration на сервере или клиенте, разделяя директивы символом ;

Ficus666

Так и сделал!

На клиентах в Advanced configuration
route 192.168.Х.0 255.255.255.0

Спасибо большое :)

Stas1k

Помогите пожалуйста разобраться:
создан OpenVPN server (site-to-site) сетка LAN 192.168.1.0
клиент в другом офисе подключается и все работает LAN 192.168.2.0

вопрос такой: если со стороны сервера имеется еще одна сетка (например 192.168.5.0) а у клиента еще одна сетка 192.168.6.0. и мне нужно их связать. их можно запихать в один тунель, или мне для этого нужно создавать еще один  openVPN server?

Tr0tter

@Stas1k:

Помогите пожалуйста разобраться:
создан OpenVPN server (site-to-site) сетка LAN 192.168.1.0
клиент в другом офисе подключается и все работает LAN 192.168.2.0

вопрос такой: если со стороны сервера имеется еще одна сетка (например 192.168.5.0) а у клиента еще одна сетка 192.168.6.0. и мне нужно их связать. их можно запихать в один тунель, или мне для этого нужно создавать еще один  openVPN server?

Можно

route 192.168.5.0 255.255.255.0;
push "route 192.168.0.0 255.255.255.0"route 192.168.0.0 255.255.255.0;
push "route 192.168.5.0 255.255.255.0";

Не знаю только как FW на это отреагирует…

werter

1. У вас сеть 192.168.5.0 с сервером pfsense как связана ? Как вторая ?

если со стороны сервера имеется еще одна сетка (например 192.168.5.0)

На клиенте в настройке Advanced:

route 192.168.5.0 255.255.255.0;

2. Что у клиента в кач-ве OpenVPN-сервиса ? Тоже pfsense или что-то другое?

а у клиента еще одна сетка 192.168.6.0

На сервере в настройке Advanced:

route 192.168.6.0 255.255.255.0;

И во вкладке Client specific overrides :

iroute 192.168.6.0;

Stas1k

@werter:

1. У вас сеть 192.168.5.0 с сервером pfsense как связана ? Как вторая ?

если со стороны сервера имеется еще одна сетка (например 192.168.5.0)

На клиенте в настройке Advanced:

route 192.168.5.0 255.255.255.0;

2. Что у клиента в кач-ве OpenVPN-сервиса ? Тоже pfsense или что-то другое?

а у клиента еще одна сетка 192.168.6.0

На сервере в настройке Advanced:

route 192.168.6.0 255.255.255.0;

И во вкладке Client specific overrides :

iroute 192.168.6.0;

c обоих сторон pfsense

сетки вторые - просто еще один интерфейс с обоих сторон

werter

Описал выше. Дерзайте. И про правила fw не забывайте.