OpenVPN multi-site по схеме сервер-многоточка

derwin

werter
я на хабре периодически делаю статьи про pfsense. Ожидается шикарное обновление 2,2. Не желаешь помочь с переводом?

derwin

Работает только 1 клиент, который подключается первым. Второй вешается в реконнект. Ваши идеи?
Сертификат клиента на всех клиентах один и тот же.
Ниже в настройках прописана только туннельная сеть. Всё остальное пусто

upd:
werter а проверьте пожалуйста зону advansed. Мне кажется там у вас режим работы субнетом прописан

![2014-12-19 11-20-16 pfsense.localdomain - OpenVPN Server - Google Chrome.png](/public/imported_attachments/1/2014-12-19 11-20-16 pfsense.localdomain - OpenVPN Server - Google Chrome.png)
![2014-12-19 11-20-16 pfsense.localdomain - OpenVPN Server - Google Chrome.png_thumb](/public/imported_attachments/1/2014-12-19 11-20-16 pfsense.localdomain - OpenVPN Server - Google Chrome.png_thumb)

derwin

у кого вообще используется живой вариант на Peer to Peer (SSL/TLS) ???
Туннель поднят, но тут проблема. По нему траффик упорно не хочет идти. В роутах маршрут есть, я могу попасть в веб интерфейс туннельного интерфейса pfsense - но это всё! Траффик не маршрутизируется!

Сначала подумал рулесы козлят - повесил на floating разрешающее правило, проблема не ушла…. в логе чисто.... по сниферу на openVPN интерфейсах тестовый траффик не проходит... при этом удалённый офисный pfsens пингует содержимое моей DMZ через этот туннель, а главный pfsense-сервер - содержимое офисной локалки не видит!
Немаловажный момент - ospf работает отлично поверх туннеля.

Вобщем, по моим изысканиям, траффик из локальных интерфейсов в туннель по какой то причине не попадает. Меняю режим на PSK - всё работает как часики!!

upd: нашёл похожее в интернетах http://www.linux.org.ru/forum/admin/7215921 и топология прописана, и tan - вроде теперь трафик пролетает по туннелю.
Осталось победить только то, что работает только 1 удалённый сервер. Второй подключиться не может.

rubic

Скорее всего не прописаны iroute в client specific overrides. Системных маршрутов не достаточно при схеме hub and spoke

gr0mW

У меня такая схема работает уже несколько лет. Прописывайте в Advanced configuration сервера route сетей клиентов и client-to-client (если необходимо чтобы сети клиентов видели друг друга). В OpenVPN: Client Specific Override добавляете клиента и настраиваете его. В настройках Advanced я прописываю ifconfig-push (например ifconfig-push 10.10.10.a 10.10.10.b, где a и b взяты из пар в соответствии с HOWTO https://openvpn.net/index.php/open-source/documentation/howto.html#policy), а также iroute 1.1.1.1 255.255.255.0 (сеть за клиентом); push "route 2.2.2.2 255.255.255.240"(пример сеть 2 клиента через сервер) и тд. сети всех клиентов при необходимости (https://community.openvpn.net/openvpn/wiki/RoutedLans).

P.S. ifconfig-push прописываю для того чтобы клиенты всегда получали один и тот же адрес. Так же учитывайте что один клиент это подсеть с 30 маской (т.е. пары будут 1-2, 5-6, 9-10 и т.д ) соответственно маска адреса туннеля на сервере не меньше чем количество клиентов x 4.

derwin

gr0mW
А в вашем варианте ovpn-клиенты могут общаться напрямую без сервера? При маске /30 точно - нет. Когда все пиры в одной подсети - нетборить лучше получается, хоть bgp, хоть ospf. Я хочу аналог цисковской DMVPN.

Сделал tap+OSPF, работает в режиме сервер-1клиент.
Но и проблема так и не решилась. Работает только 1 клиент. Второй по счёту подключиться не может.

Скрин со второго клиента

![2014-12-22 09-22-57Google Chrome.png_thumb](/public/imported_attachments/1/2014-12-22 09-22-57Google Chrome.png_thumb)
![2014-12-22 09-22-57Google Chrome.png](/public/imported_attachments/1/2014-12-22 09-22-57Google Chrome.png)

derwin

спасибо соседям с http://www.lissyara.su/
ключевая директива duplicate-cn - теперь можно подключаться с одним сертификатом.

Тут появляется следующая проблема. Второй клиент коннектится, и отстреливается. Ошибка та же самая, что и на скриншоте выше. Нашёл эту проблему на англоязычном форуме.
ПОлучается в списке OpenVPN линков висит штук 5 коннектов, и живого там нет.

derwin

Вобщем, это баг. Описываю ситуацию.

Создаём новый openvpn-клиент с tan линком. Получаем ошибку как на скриншоте. Никакие действия не помогают.
Ребутаем сам сервер с клиентским линком - всё работает. Тестирую.

werter

@derwin:

спасибо соседям с http://www.lissyara.su/
ключевая директива duplicate-cn - теперь можно подключаться с одним сертификатом.

Тут появляется следующая проблема. Второй клиент коннектится, и отстреливается. Ошибка та же самая, что и на скриншоте выше. Нашёл эту проблему на англоязычном форуме.
ПОлучается в списке OpenVPN линков висит штук 5 коннектов, и живого там нет.

По Вашей ссылке описано решение :

Problem solved. I simply changed back to default gateway and then back to the vpn gateway and it worked.
Oh boy, I have learnt a lot today about what could be wrong with this, hopefully I can have it working a while now

Плюс я бы добавил в Advanced OpenVPN-сервера директиву topology subnet - https://community.openvpn.net/openvpn/wiki/Topology

Однако , учитывая дату решения (2012 год) - проблема не в этом.

ключевая директива duplicate-cn - теперь можно подключаться с одним сертификатом.

Этот пункт явно присутствует в граф. настройках сервера OpenVPN. Именно по этому я и просил показать полный (!) скрин настроек и
что не было сделано.

![Using your OpenVPN Road Warrior setup as a Secure Relay.jpg](/public/imported_attachments/1/Using your OpenVPN Road Warrior setup as a Secure Relay.jpg)
![Using your OpenVPN Road Warrior setup as a Secure Relay.jpg_thumb](/public/imported_attachments/1/Using your OpenVPN Road Warrior setup as a Secure Relay.jpg_thumb)

pochkaev

Если хотите OSPF - не заморачивайтесь с SSL - адекватно работать не будет.
У меня рабочая схема 4 офиса (Peer to Peer) + client (SSL/TLS)
По верх этого всего OSPF, а у клиентов 2-remote server в конфиге OpenVPN

Если без OSPF, то с натяжкой как в комментарии gr0mW