Проблема в доступе клиента к одной из сети
-
сделал алиас, как вы и советовали. жестко выставил шлюзом wangw, доступа к локалке 10.2.2.0/24 нет. при такой настройке пропал доступ к сетям 192.168.2.0/24 и 192.168.4.0/24 из 10.2.2.0/24
-
А в Diagnostics: Packet Capture на pfsense04 на интерфейсе openVPN все ли пакеты приходят и уходят если пинговать:
- сам pfsense04
- сервер 1С
Если пакеты есть - попробуйте указать Level of Detail = Full, может быть там увидится какая-либо ошибка. Приходилось встречать, последнее например, ошибка ipsec - bad chsum. При Level of Detail = Normal ошибки чексуммы пакета не видел.
вот данные:
12:32:56.170974 AF IPv4 (2), length 64: (tos 0x0, ttl 127, id 8717, offset 0, flags [none], proto ICMP (1), length 60)
10.8.0.10 > 10.2.2.5: ICMP echo request, id 1, seq 113, length 40
12:32:56.171060 AF IPv4 (2), length 64: (tos 0x0, ttl 64, id 3245, offset 0, flags [none], proto ICMP (1), length 60)
10.2.2.5 > 10.8.0.10: ICMP echo reply, id 1, seq 113, length 40
12:32:57.173471 AF IPv4 (2), length 64: (tos 0x0, ttl 127, id 8724, offset 0, flags [none], proto ICMP (1), length 60)
10.8.0.10 > 10.2.2.5: ICMP echo request, id 1, seq 114, length 40
12:32:57.173506 AF IPv4 (2), length 64: (tos 0x0, ttl 64, id 53188, offset 0, flags [none], proto ICMP (1), length 60)
10.2.2.5 > 10.8.0.10: ICMP echo reply, id 1, seq 114, length 40
12:32:58.175400 AF IPv4 (2), length 64: (tos 0x0, ttl 127, id 8755, offset 0, flags [none], proto ICMP (1), length 60)
10.8.0.10 > 10.2.2.5: ICMP echo request, id 1, seq 115, length 40
12:32:58.175439 AF IPv4 (2), length 64: (tos 0x0, ttl 64, id 14563, offset 0, flags [none], proto ICMP (1), length 60)
10.2.2.5 > 10.8.0.10: ICMP echo reply, id 1, seq 115, length 40
12:32:59.177588 AF IPv4 (2), length 64: (tos 0x0, ttl 127, id 8760, offset 0, flags [none], proto ICMP (1), length 60)
10.8.0.10 > 10.2.2.5: ICMP echo request, id 1, seq 116, length 40
12:32:59.177628 AF IPv4 (2), length 64: (tos 0x0, ttl 64, id 9004, offset 0, flags [none], proto ICMP (1), length 60)
10.2.2.5 > 10.8.0.10: ICMP echo reply, id 1, seq 116, length 40
12:33:03.084690 AF IPv4 (2), length 64: (tos 0x0, ttl 127, id 8818, offset 0, flags [none], proto ICMP (1), length 60)
10.8.0.10 > 10.2.2.203: ICMP echo request, id 1, seq 117, length 40
12:33:07.729089 AF IPv4 (2), length 64: (tos 0x0, ttl 127, id 8893, offset 0, flags [none], proto ICMP (1), length 60)
10.8.0.10 > 10.2.2.203: ICMP echo request, id 1, seq 118, length 40
12:33:12.731428 AF IPv4 (2), length 64: (tos 0x0, ttl 127, id 8982, offset 0, flags [none], proto ICMP (1), length 60)
10.8.0.10 > 10.2.2.203: ICMP echo request, id 1, seq 119, length 40
12:33:17.731690 AF IPv4 (2), length 64: (tos 0x0, ttl 127, id 9052, offset 0, flags [none], proto ICMP (1), length 60)
10.8.0.10 > 10.2.2.203: ICMP echo request, id 1, seq 120, length 40ok. Видим что пакеты приходят, а вот ответа уже нет. Теперь нужно найти: 1) отправляет ли что pfsense04 в lan и 2) принимает ли что хост 10.2.2.203
сделал алиас, как вы и советовали. жестко выставил шлюзом wangw, доступа к локалке 10.2.2.0/24 нет. при такой настройке пропал доступ к сетям 192.168.2.0/24 и 192.168.4.0/24 из 10.2.2.0/24
Что-то с алиасом напутано значит. Когда правила работают, то и должны также работать если просто была замена CIDR на его алиас
отписал в личку
-
Yota - Tier 1. Получается , что это соединение приоритетнее WAN. Так надо?
Далее. Настоятельно рекомендую сперва попытаться решить проблему используя один линк. И этот линк - WAN.
И только после этого работать с группой. -
2 aka_daemon
Попробуйте добавить на pfsense04 настройках OpenVPN в Advanced … директиву route 10.10.10.0 255.255.255.0;
-
Yota - Tier 1. Получается , что это соединение приоритетнее WAN. Так надо?
через yota пользователи выходят в инет, так дешевле чем через выделенный канал, берут 20тыс. за 6 мегабит
Далее. Настоятельно рекомендую сперва попытаться решить проблему используя один линк. И этот линк - WAN.
И только после этого работать с группой.если убрать балансировку и оставить один канал через статический wan, то все работает.
-
2 aka_daemon
Попробуйте добавить на pfsense04 настройках OpenVPN в Advanced … директиву route 10.10.10.0 255.255.255.0;
если вы имели ввиду маршрут в сеть 10.8.0.0/24, то он уже есть
-
2 aka_daemon
Попробуйте добавить на pfsense04 настройках OpenVPN в Advanced … директиву route 10.10.10.0 255.255.255.0;
если вы имели ввиду маршрут в сеть 10.8.0.0/24, то он уже есть
OpenVPN, насколько я помню, имеет свою, внутреннюю таблицу маршрутизации.
Если добавлять просто системные маршруты, может не заработать. Пропишите маршруты в конфигурации OpenVPN, он сам добавит их в общую таблицу маршрутизации.И ещё. Смотрю, тут используется конфигурация multi-wan. Проблем с установкой соединения нет? OpenVPN может отбрасывать пакеты, приходящие с IP отличного от того, с которым было установлено соединение (так бывает при multi-wan конфигурации). Если такое происходит, добавьте в конфигурацию OpenVPN параметр float.
-
Пропишите маршруты в конфигурации OpenVPN, он сам добавит их в общую таблицу маршрутизации.
все маршруты через openvpn и прописаны, см. выше
-
И ещё. Смотрю, тут используется конфигурация multi-wan. Проблем с установкой соединения нет? OpenVPN может отбрасывать пакеты, приходящие с IP отличного от того, с которым было установлено соединение (так бывает при multi-wan конфигурации). Если такое происходит, добавьте в конфигурацию OpenVPN параметр float
multi-wan используется на стороне клиента - pfsense04
серверная часть поднята на pfsense01, см. рисунокпараметр float полезен когда идёт подключение к компьютеру имеющему динамический IP адрес.
-
2 aka_daemon
Попробуйте добавить на pfsense04 настройках OpenVPN в Advanced … директиву route 10.10.10.0 255.255.255.0;
если вы имели ввиду маршрут в сеть 10.8.0.0/24, то он уже есть
Нет. Зачем вообще добавлять маршрут в vpn-сеть 10.8.0.0/24 ? Удалите его на pfsense04 и добавьте вместо него route 10.10.10.0 255.255.255.0; на pfsense04. Это ведь реальная локальная сеть проблемного клиента как я понимаю?
-
проблему решили благодаря dima_k, дело оказалось в маске сети на стороне pfsense04. поменяли маску на хосте 10.2.2.203 с 255.0.0.0 на 255.255.255.0
тему можно закрывать