Маршрутизация OpenVPN
-
Уважаемые гуру, очень нужна помощь.
Сразу скажу что я совсем не юниксоид, и pfsense вынужден использовать на работе потому что он уже стоит и через него в нашу сеть ходит куча подразделений. Проблема в том, что когда создаю новый сервер для подключения филиала, то у него неправильно автоматом прописывается маршрутизация. В настоящее время вынужден был сделать в разделе advanced вручную команду route
192.168.166.0 255.255.255.0 172.16.47.2
, теперь маршруты не слетают после перезагрузки, но появилась новая проблема - в таблице маршрутизации появляются (через некоторое время после перезагрузки) новые ненужные маршруты типа:```
192.168.156.0/22 192.168.0.1 UG 0 0 1500 em0![](http://i68.fastpic.ru/big/2014/1020/18/20ca12229ff6ecda01b174726665cc18.jpg) уже голову сломал чего так? как сделать что бы маршруты автоматом создавались? или где это прописать может в каком конфигурационном файле? не нашел rc.conf (
-
Маршрут в сеть клиента указываются либо в поле "Remote Network" в настройках сервера, либо, если такого поля нет (зависит от Server Mode), так, как сделали вы, т.е. командой route в Advanced configuration. Автоматом ничего не бывает, если только вы не используете какой-нибудь демон динамической маршрутизации. Вот, кстати, "левые" маршруты в таблице очень похожи на результат работы такого демона. Они в принципе безвредны, т.к. у них маска короче и трафик все-равно идет по указанным вами статическим маршрутам. Все кроме 192.168.168.0 - в эту сеть он пойдет через 192.168.0.1, а не через туннель.
Поэтому сначала скажите что такое 192.168.0.1, а также есть ли у вас в меню Services пакет Quagga OSPFd. -
так дело в том что так и указана сеть в настройках сервера:
но все равно приходится еще и отдельно прописывать маршрут.
Посмотрел, в меню Services пакет Quagga OSPFd отсутствует. Где еще можно посмотреть причину появления левых маршрутов?
-
И все таки, что такое 192.168.0.1?
-
192.168.0.1 Это основной шлюз
-
В качестве варианта можно предположить атаку ICMP redirect net. Входящий ICMP на LAN pfSense разрешен? Если да и любого типа, запретить, перезагрузиться и смотреть что будет.