[Risolto] OpenVPN - VPN site-to-site, impossibile raggiungere i pc lato client
-
Ho implementato una VPN con due pfSense versione 2.2.4 su hardware minimali.
Tenendo conto che la sede A ospita il server e la sede B ospita il client, tutto funziona egregiamente, avendo, ad esempio, dei telefoni IP nella sede B regolarmente registrati sul centralino presente nella sede A.
Il problema è che ora dovrei registrare un apparato nella sede A ad un server presente nella sede B, e questo non funziona. Non solo: provando a pingare un qualsiasi dispositivo presente nella sede B dalla sede A si ottiene un bel "richiesta scaduta".
Le configurazioni sono le seguenti:Site A
OpenVPN: Server
Server Mode: Peer to Peer (Shared Key)
Device Mode: tun
IPv4 Tunnel Network: 10.0.10.0/30
IPv4 Local Network/s: 192.168.1.0/24
IPv4 Remote Network/s: 192.168.70.0/24Firewall rules
L'interfaccia OpenVPN interfaces/tabs ha le seguenti regole:
Proto: IPv4 *
Source: *
Port: *
Destination: *
Port: *
Gateway: *
Queue: noneDiagnostics: IPv4 Routing tables
Destination: 192.168.70.0/24
Gateway: 10.0.10.2
Flags: UGS
Use: 0
Mtu: 1500
Netif: ovpns1Site B Setup
OpenVPN: Client
Server Mode: Peer to Peer (Shared Key)
Device Mode: tun
IPv4 Tunnel Network: 10.0.10.0/30
IPv4 Local Network/s: 192.168.70.0/24
IPv4 Remote Network/s: 192.168.1.0/24Firewall rules
L'interfaccia OpenVPN ha le seguenti regole:
Proto: IPv4 *
Source: *
Port: *
Destination: *
Port: *
Gateway: *
Queue: noneDiagnostics: IPv4 Routing tables
Destination: 192.168.1.0/24
Gateway: 10.0.10.1
Flags: UGS
Use: 5782
Mtu: 1500
Netif: ovpnc1Leggendo un po' in giro ho provato a restringere la classe degli indirizzi usati per il tunnel con un /30 ma senza successo.
Ho anche letto di aggiungere una regola in "Client specific override" aggiungendo una route verso il client, ma sinceramente mi pare già presente, infatti le route sul server sono le seguenti:
Destination Gateway Flags Use Mtu Netif
default 10.10.11.254 UGS 1845994 1500 vr0
10.0.10.1 link#7 UHS 0 16384 lo0
10.0.10.2 link#7 UH 0 1500 ovpns1
10.10.11.0/24 link#2 U 0 1500 vr0
10.10.11.250 link#2 UHS 0 16384 lo0
10.10.11.254 10.10.11.254 UGHS 121030 1500 vr0
127.0.0.1 link#5 UH 102 16384 lo0
192.168.1.0/24 link#1 U 2091505 1500 fxp0
192.168.1.1 link#1 UHS 0 16384 lo0
192.168.70.0/24 10.0.10.2 UGS 40 1500 ovpns1
208.67.220.220 10.10.11.254 UGHS 579 1500 vr0Suggerimenti?
Grazie in anticipo
-
ciao hai fatto il push delle reti? nelle config avanzate di open vpn lato server prova a mettere
push "route 192.168.70.0 255.255.255.0";poi vai nelle route statiche del server e metti una route statica
192.168.70.0/24 su interfaccia openvpnfai la stessa cosa lato client mettendo una route statica
192.168.1.0/24 su interfaccia openvpntieni presente di pulire i log di open vpn e di riavviare i box.
Postami i log se dovessi avere dei prob.Ciao
-
Come prima cosa ti ringrazio della risposta.
Qualche domanda: devo fare il push della route anche se compare già nell'elenco delle route del server? Lo chiedo perché andando ad impostare una route statica sul server non mi compare l'interfaccia openvpn su cui attivarla. -
Ciao,
nelle VPN site to site implementate con le versioni 2.2.x ho riscontrato un errore per cui pure avendo un atabella di routing corretta di fatto il routing tra le varie sottoreti non avviene.
L'unica soluzione che ho trovato è aggiungere a mano le rotte statiche.
Ciao fabio -
In effetti aggiungendo "push route 192.168.70.0 255.255.255.0" nella configurazione avanzata lato server funziona!
Lato client non ho modificato nulla.
Questo "baco" è stato corretto nella nuova versione 2.2.5?Grazie di nuovo per le risposte