OpenVPN PKI: Site-to-Site инструкция для обсуждения
-
Настроил все по этой схеме, два сервера pfsense соединились, все работает. Огромное спасибо автору за такой подробный мануал.
Но как подключать windows клиентов? Подключение не происходит, а в логах пфсенса следующее:
TLS Error: cannot locate HMAC in incoming packet from [AF_INET]ЗДЕСЬ_МОЙ_IP:49516
Помогите, пожалуйста, решить проблему.
-
У клиента нет TLS authentication key.
Для начала отключите в настройках сервера Enable authentication of TLS packets. -
У клиента нет TLS authentication key.
Для начала отключите в настройках сервера Enable authentication of TLS packets.Не хотелось бы отключать TLS.
А если добавить еще один openvpn, например, на порту 1195 и сделать по этой инструкции (http://www.youtube.com/watch?v=odjviG-KDq8)
Не слетит ли то, что уже сделано и хорошо работает. Вообще можно ли так делать или нежелательно.
-
Серверов можно насоздавать пока не закончатся свободные порты :). Мешать друг другу они не должны, если не пересекутся адреса туннелей, будут созданы правила для каждого сервера и т.д.
Не хотелось бы отключать TLS
Я вынужден отключать Enable authentication of TLS packets.
Тем не менее:
В конфиге клиента есть ли директивы
tls-auth ta.key 1
tls-client
dh dh1024.pem - не уверенЕсть ли сам ta.key?
верно ли указан путь к ta.key?http://sysadmins.ru/topic377581.html
http://www.linux.org.ru/forum/admin/6798065
http://forum.ixbt.com/topic.cgi?id=14:56078-12 -
Серверов можно насоздавать пока не закончатся свободные порты :). Мешать друг другу они не должны, если не пересекутся адреса туннелей, будут созданы правила для каждого сервера и т.д.
Не хотелось бы отключать TLS
Я вынужден отключать Enable authentication of TLS packets.
Тем не менее:
В конфиге клиента есть ли директивы
tls-auth ta.key 1
tls-client
dh dh1024.pem - не уверенЕсть ли сам ta.key?
верно ли указан путь к ta.key?http://sysadmins.ru/topic377581.html
http://www.linux.org.ru/forum/admin/6798065
http://forum.ixbt.com/topic.cgi?id=14:56078-12Спасибо Вам огромное. У меня все получилось.))) И не пришлось создавать еще один экземпляр сервера.
Нужно было создать файл ta.key и вставить туда Shared key, затем в виндовом клиенте OpenVPN в файле конфигурации включить tls-auth ta.key 1
-
Нужно было создать файл ta.key
Про отсутствие ta.key ответил еще в первом посте.
Пришлось гуглить за вас. :) -
Здравствуйте!
Все настроил по инструкции, соединение установлено, из сети пинг с PfSense филиала идет, до сервера и за него, а с Windows клиентов филиала не проходит.
tracert c windows машины:
Трассировка маршрута к 192.168.100.129 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс pfSense.AZ1 [192.168.1.129]
2 * * ^C
traceroute c PfSense филиала:
1 10.0.8.1 (10.0.8.1) 98.322 ms 99.651 ms 112.461 ms
2 192.168.100.97 (192.168.100.97) 99.873 ms 100.864 ms 100.082 msСудя по всему обрубает PfSense филиала, но где, понять не могу, подскажите плиз, 2 дня голову ломаю…
-
Есть ли в правилах для LAN филиала и центра правило вида
- LAN net * 192.168.x.x/24 * * none
где 192.168.x.x/24 - удаленная сеть.
- LAN net * 192.168.x.x/24 * * none
-
пробовал, только немного по другому выглядит ipv4x LAN net * 192.168.x.x/24 * * none, потом удалил, потому как
в по умолчанию в правилах выше стоит:
ipv4.x LAN net * * * * none
ipv6.x LAN net * * * * noneтут же диапазон шире, нежели ipv4x LAN net * 192.168.x.x/24, или я что-то не так понимаю?
-
@JTU:
пробовал, только немного по другому выглядит ipv4x LAN net * 192.168.x.x/24 * * none, потом удалил, потому как
в по умолчанию в правилах выше стоит:
ipv4.x LAN net * * * * none
ipv6.x LAN net * * * * noneтут же диапазон шире, нежели ipv4x LAN net * 192.168.x.x/24, или я что-то не так понимаю?
Понимаете верно. Но правило в fw добавьте (в самый верх)
-
Правила добавил, ничего не изменилось :'(
-
Скрин.
-
Скрин правил в fw-lan?
-
Скрины правил на сервере и клиенте
-
JTU
Скрины правил fw на OpenVPN-интерфейсах сервер\клиент.
Скрины настроек самого OpenVPN сервер\клиент, а также Client specific overrides на сервере. -
День добрый, помогите, пожалуйста, решить проблему с site-2-site vpn?
Есть один сервер и два клиента, между ними настроен vpn (настройки ниже).
Проблема заключается в том, что при выключении маршрутизатора-сервера и последующем включении у него появляются неверные маршруты для одного клиента (со вторым проблем нет), если после этого на сервере openvpn перезапустить (меню status -> openvpn ->кнопка перезапуска), то маршрут появляется нормальный и все работает.
Где я ошибся в настройке?Настройки сервера:
IPv4 Tunnel Network 10.0.10.0/24
IPv4 Local Network/s 192.168.1.0/24
IPv4 Remote Network/s 192.168.31.0/24,192.168.4.0/24
Advanced route 192.168.4.0 255.255.255.0;route 192.168.31.0 255.255.255.0;push "route 192.168.1.0 255.255.255.0"Настройки клиента на сервере (override):
Advanced iroute 192.168.31.0 255.255.255.0Настройки на клиенте:
IPv4 Tunnel Network 10.0.10.0/24
-
Версия pf ? Что в кач-ве клиентов ? Нужен ли доступ в клиентские сети тем, кто в сети сервера ? Нужно ли клиенту попадать в сеть др. клиента?
Как вариант, убрать на сервере директивы push . Вместо этого добавить директиву(-ы) route в локальные файлы настроек клиентов (для доступа клиента в сеть сервера\сети др. клиента).
-
И клиенты и сервер все pfsense 2.2.4 x64.
Убрал push с сервера, прописал route на клиенте - ситуация такая же - после перезагрузки сервера (целиком) маршрут опять неверный :(Добавлено:
Может быть дело в запятых, двоеточиях, пробелах при указании сетей, директив и т.п.? -
И клиенты и сервер все pfsense 2.2.4 x64.
Убрал push с сервера, прописал route на клиенте - ситуация такая же - после перезагрузки сервера (целиком) маршрут опять неверный :(Добавлено:
Может быть дело в запятых, двоеточиях, пробелах при указании сетей, директив и т.п.?Кто ж его знает…
Никто Ваших скринов настроек сервера\клиентов не видел. Кроме Вас самого. -
В первом сообщении все настройки скопированы из интерфейса, т.е. запятые, пробелы - все сохранено. Скриншоты каких страниц нужны? (доеду до работы - сделаю и выложу)