Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Доступ в Lan сеть за виртуальным ip через OpenVPN

    Scheduled Pinned Locked Moved Russian
    5 Posts 2 Posters 3.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      temyshk
      last edited by

      Здравствуйте прошу помощи у Гуру.

      Дано, посмотрите картинку пожалуйста.
      1. OpenVPN Сервер на pfSense В офисе - сеть LAN (192.168.0.0/24 за ним)
      2. OpenVPN Клиент на pfSense В филиале - сеть LAN1 (192.168.1.0/24 за ним)
      Соответственно openvpn между собой работает и пингуется, клиент офиса 192.168.0.100 видит клиента филиала 192.168.1.100 и на оборот.

      Далее добавляю виртуальный ip адрес 192.168.2.0/24 (Firewall - Virtuals IP) в Филиале на pfSense к LAN интерфейсу, хочу сделать две локальные сети за шлюзом в филиале.

      Необходимо:
      Что бы клиент офиса (192.168.0.100) видел клиента второй LAN Сети (за виртуальным ip) 192.168.2.100

      Что делал и что получилось:
      1. pfSense филиала пингует с виртуального адреса 192.168.2.1 клиента 192.168.2.100
      2. Клиент офиса 192.168.0.100 пингует виртуальный ip адрес pfsens филиала 192.168.2.1 через OpenVPN, а вот адрес 192.168.2.100 не пингует хоть ты тресни.
      3. Я понимаю что необходимо прописать в Firewall -> NAT -> Outbound, Разрешающее правило но что я туда только не прописывал, ни чего не помогло.
      4. Маршрут на OpenVPN Server к виртуальной локальной сети прописан, это так же подтвержается пинг 192.168.2.1 с 192.168.0.100.

      5. tcpdump -i ovpnc1 hostname 192.168.2.100, На pfsens филиала показывает что пинг запрашивается с 172.0.0.1 но не уходит обратно.
      А tcpdump -i re1 hostname 192.168.2.100 ни чего не показывает (

      Вопросы:
      1. Какой тип виртуального ip выбрать IP Alias, CARP, Proxy, ARP Other,
      2. Какое разрешающее правило приписать в Firewall -> NAT -> Outbound

      Теги: виртуальный ip, Virtuals IP, две локальные сети на одном интерфейсе, IP Alias, CARP, Proxy, ARP Other, Firewall, NAT, Outbound, OpenVPN

      virtualip.jpg
      virtualip.jpg_thumb

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        1. Какой тип виртуального ip выбрать IP Alias, CARP, Proxy, ARP Other

        IP Alias

        2. На сервере в Адвансед директива :

        route 192.168.2.0 255.255.255.0;

        Плюс там же на сервере в доп. настройках клиента :

        iroute 192.168.2.0 255.255.255.0;

        2. Какое разрешающее правило приписать в Firewall -> NAT -> Outbound

        Попробуйте сперва оставить автомат и проверить.

        P.s. Покажите скрины правил fw на LAN и OpenVPN на сервере и клиенте.

        И таблицу маршрутизации на сервере и клиенте после правки настроек, указанных мною выше и поднятия OpenVPN.

        1 Reply Last reply Reply Quote 0
        • T
          temyshk
          last edited by

          @werter:

          1. Какой тип виртуального ip выбрать IP Alias, CARP, Proxy, ARP Other

          IP Alias

          Он и выбран
          @werter:

          2. На сервере в Адвансед директива :
          route 192.168.2.0 255.255.255.0;

          Директива прописана
          @werter:

          Плюс там же на сервере в доп. настройках клиента :
          iroute 192.168.2.0 255.255.255.0;

          Это то же прописано, но только в Client Specific Overrides
          С опен впн точно все в порядке так ка я могу пинговать адрес 192.168.2.1
          @werter:

          Попробуйте сперва оставить автомат и проверить.

          Пробовал не помогает
          @werter:

          P.s. Покажите скрины правил fw на LAN и OpenVPN на сервере и клиенте.

          Во вложении
          @werter:

          И таблицу маршрутизации на сервере и клиенте после правки настроек, указанных мною выше и поднятия OpenVPN.

          Всмысле роутинг показать?

          Если взять во внимание вывод tcpdump на Лан интерфейсе опен впн клиента то есть пакеты доходят до лан интерфейса re1 192.168.2.1 шлюза в филиале, то такое ощущение что лан интерфейс не пускает пакеты обратно, может мост нужно создать или какой алиас дать виртальному айпишнику или vlan

          Virtualip2.jpg
          Virtualip2.jpg_thumb
          virtualip3.jpg
          virtualip3.jpg_thumb

          1 Reply Last reply Reply Quote 0
          • T
            temyshk
            last edited by

            Получилось сделать, но только когда в качестве клиента openvpn выступал роутер linksys wrt54g на прошивке TomatoUSB, как сделал:
            1. На самом роутере был поднят виртуальный интерфейс br1 (основной br0)
            2. Правилами iptables получилось разрешить доступ во вторую сеть

            Вопрос почему на pfsense я делаю дополнительный виртуальный ip он записывается на тот же интерфейс ? (см принтскрин) как сделать что бы он прописался на отдельный интерфейс? что бы его можно было использовать в iptables?

            iface.jpg
            iface.jpg_thumb

            1 Reply Last reply Reply Quote 0
            • werterW
              werter
              last edited by

              Вопрос почему на pfsense я делаю дополнительный виртуальный ip он записывается на тот же интерфейс ? (см принтскрин) как сделать что бы он прописался на отдельный интерфейс? что бы его можно было использовать в iptables?

              А на какой он должен присваиваться ? Это же просто алиас.

              1. На самом роутере был поднят виртуальный интерфейс br1 (основной br0)

              Это VLAN! Не путайте Virtual IP и VLAN.

              P.s. Пропишите на LAN проблемного pf в fw правило , где в Source - 192.168.2.0\24, в destination - 192.168.0.0\24,
              а в кач-ве Gateway - OpenVPN. И поставьте его (выше) сразу после первого правила. Проверьте. И покажите скрин этих настроек.

              P.s. Возможно, что аналогичное правило прийдется нарисовать и на pf-сервере, но могу ошибаться.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.