OpenVPN multi-site по схеме сервер-многоточка
-
Поднимаю на центральном сервере OpenVPN сервер, к нему из филиалов OpenVPN клиенты. Поверх пустить OSPF. Затевается для крутой маршрутизации между филиалами.
Проблема в том, что не могу понять, как заставить все филиальные клиенты подключаться на 1 openvpn сервер. Пробую все клиенты настроить абсолютно одинаково, указав туннельную сеть пошире маской - в итоге все-все клиенты подключаются, встают на 1 ip адрес, и мешают друг другу. https://yadi.sk/i/dqgniv51dTHbo
Нужно - чтобы все офисы вставали на индивидуальные IP адреса.Пока что решил это дело путём создания множества серверов на отдельных портах, но это как то не по фен-шую. Прошу помощи.
-
Server mode поменяйте на Peer to Peer (SSL/TLS)
https://forum.pfsense.org/index.php?topic=59081.0
-
Странно. У меня Клиент-Сервер вариант и все клиенты имеют один и тот же сертификат, с к-ым и подключаются. И получают разные туннельные адреса при этом.
Хм, может в 2.1.х что-то изменилось? У меня 2.0.хP.s. Покажите полные скрины настройки OpenVPN-сервера на pf. И скрины цепляйте к своему сообщению сюда же, пож-та.
-
werter
я на хабре периодически делаю статьи про pfsense. Ожидается шикарное обновление 2,2. Не желаешь помочь с переводом? -
Работает только 1 клиент, который подключается первым. Второй вешается в реконнект. Ваши идеи?
Сертификат клиента на всех клиентах один и тот же.
Ниже в настройках прописана только туннельная сеть. Всё остальное пустоupd:
werter а проверьте пожалуйста зону advansed. Мне кажется там у вас режим работы субнетом прописан
 -
у кого вообще используется живой вариант на Peer to Peer (SSL/TLS) ???
Туннель поднят, но тут проблема. По нему траффик упорно не хочет идти. В роутах маршрут есть, я могу попасть в веб интерфейс туннельного интерфейса pfsense - но это всё! Траффик не маршрутизируется!Сначала подумал рулесы козлят - повесил на floating разрешающее правило, проблема не ушла…. в логе чисто.... по сниферу на openVPN интерфейсах тестовый траффик не проходит... при этом удалённый офисный pfsens пингует содержимое моей DMZ через этот туннель, а главный pfsense-сервер - содержимое офисной локалки не видит!
Немаловажный момент - ospf работает отлично поверх туннеля.Вобщем, по моим изысканиям, траффик из локальных интерфейсов в туннель по какой то причине не попадает. Меняю режим на PSK - всё работает как часики!!
upd: нашёл похожее в интернетах http://www.linux.org.ru/forum/admin/7215921 и топология прописана, и tan - вроде теперь трафик пролетает по туннелю.
Осталось победить только то, что работает только 1 удалённый сервер. Второй подключиться не может. -
Скорее всего не прописаны iroute в client specific overrides. Системных маршрутов не достаточно при схеме hub and spoke
-
У меня такая схема работает уже несколько лет. Прописывайте в Advanced configuration сервера route сетей клиентов и client-to-client (если необходимо чтобы сети клиентов видели друг друга). В OpenVPN: Client Specific Override добавляете клиента и настраиваете его. В настройках Advanced я прописываю ifconfig-push (например ifconfig-push 10.10.10.a 10.10.10.b, где a и b взяты из пар в соответствии с HOWTO https://openvpn.net/index.php/open-source/documentation/howto.html#policy), а также iroute 1.1.1.1 255.255.255.0 (сеть за клиентом); push "route 2.2.2.2 255.255.255.240"(пример сеть 2 клиента через сервер) и тд. сети всех клиентов при необходимости (https://community.openvpn.net/openvpn/wiki/RoutedLans).
P.S. ifconfig-push прописываю для того чтобы клиенты всегда получали один и тот же адрес. Так же учитывайте что один клиент это подсеть с 30 маской (т.е. пары будут 1-2, 5-6, 9-10 и т.д ) соответственно маска адреса туннеля на сервере не меньше чем количество клиентов x 4.
-
gr0mW
А в вашем варианте ovpn-клиенты могут общаться напрямую без сервера? При маске /30 точно - нет. Когда все пиры в одной подсети - нетборить лучше получается, хоть bgp, хоть ospf. Я хочу аналог цисковской DMVPN.Сделал tap+OSPF, работает в режиме сервер-1клиент.
Но и проблема так и не решилась. Работает только 1 клиент. Второй по счёту подключиться не может.Скрин со второго клиента
 -
спасибо соседям с http://www.lissyara.su/
ключевая директива duplicate-cn - теперь можно подключаться с одним сертификатом.Тут появляется следующая проблема. Второй клиент коннектится, и отстреливается. Ошибка та же самая, что и на скриншоте выше. Нашёл эту проблему на англоязычном форуме.
ПОлучается в списке OpenVPN линков висит штук 5 коннектов, и живого там нет. -
Вобщем, это баг. Описываю ситуацию.
Создаём новый openvpn-клиент с tan линком. Получаем ошибку как на скриншоте. Никакие действия не помогают.
Ребутаем сам сервер с клиентским линком - всё работает. Тестирую. -
спасибо соседям с http://www.lissyara.su/
ключевая директива duplicate-cn - теперь можно подключаться с одним сертификатом.Тут появляется следующая проблема. Второй клиент коннектится, и отстреливается. Ошибка та же самая, что и на скриншоте выше. Нашёл эту проблему на англоязычном форуме.
ПОлучается в списке OpenVPN линков висит штук 5 коннектов, и живого там нет.По Вашей ссылке описано решение :
Problem solved. I simply changed back to default gateway and then back to the vpn gateway and it worked.
Oh boy, I have learnt a lot today about what could be wrong with this, hopefully I can have it working a while nowПлюс я бы добавил в Advanced OpenVPN-сервера директиву topology subnet - https://community.openvpn.net/openvpn/wiki/Topology
Однако , учитывая дату решения (2012 год) - проблема не в этом.
ключевая директива duplicate-cn - теперь можно подключаться с одним сертификатом.
Этот пункт явно присутствует в граф. настройках сервера OpenVPN. Именно по этому я и просил показать полный (!) скрин настроек и
что не было сделано.
 -
Если хотите OSPF - не заморачивайтесь с SSL - адекватно работать не будет.
У меня рабочая схема 4 офиса (Peer to Peer) + client (SSL/TLS)
По верх этого всего OSPF, а у клиентов 2-remote server в конфиге OpenVPNЕсли без OSPF, то с натяжкой как в комментарии gr0mW
