OpenVPN PSK: Site-to-Site инструкция для обсуждения
-
Это уже пережитки глубокого вечера ::)
178.64.42.0/24 и 192.168.10.0/24, та же история. -
178.64.42.0/24
Похожее пережитки так и не пережились :'(
Почитайте про "серые" \ приватные сети и их адресацию.
P.s. Не стоит выкладывать каждый пшик по изменению . Изучите теоретическую часть, по-мозгуйте, попробуйте и только потом обращайтесь. Здесь не твиттер - "я поел", "я поспал", "я …. "
-
Доброго времени суток!
С ВПН работаю в первый раз, прошу не пинать… по возможности:)
Вопрос следующий:
При настройке как в первом посте OpenVPN “Peer to Peer (Shared Key) необходимы ли дополнительные манипуляции для того чтобы например пингом видеть машины за проксей?
Тобишь если опираться на пример - 192.168.10.2 при пинге видит 192.168.20.2.
В настройках сети локальной машины серый статический IP:
IP 192.168.10.2
M 255.255.255.0
G 192.168.2.2
DNS 192.168.2.2
PFSense 2.2.4+squid+Lightsquid. LAN+WANP.s. vpn сервер, клиент подняты, пингуют друг друга. Но вот с локальной машины не могу ничего пропинговать в соседней сети.
-
Доброго.
Схему с адресацией рисуйте. -
Схама точно такая же как в первой инструкции.
Разница только в IPшниках. Я для простоты указал те, что в примере. -
У линка OVPNS1 - OVPNC1 метрика меньше чем у OVPNS2 - OVPNC2 поэтому все идет сейчас через него. Но если линк оборвать в головном офисе (отключить WAN1), то маршрутизаторы по оставшемуся линку посредством OSPF договорятся, что линк упал и перестроят таблицы. Все пойдет по OVPNS2 - OVPNC2. Это довольно быстро происходит, пропадает буквально один пинг))
Добрый вечер! Настроил в офисе все по инструкции OSPF, работет отменно, переключает правильно. Вот только нюанс, при переключени с основного openvpn на резервный пропадает больше (а точнее 8 пингов, примерно 40 сек) пингов чем было заверенно в инструкции (а при переключении с резервного на основной ни одного пинга не пропадает). Покопавшись по нету, нарыл в настройках OpenVPN опция "keepalive 10 60" которая отвечает за то, что данный канал впн лежит. При изменении этого параметра, перезапуск сервера впн всюравно возвращает стандартные настройки. Кто-то сталкивался с такой ситуацией?
-
Там еще написано, что "результаты получены на стенде и требуют проверки". OSPF сам определяет, что канал лежит и не ориентируется при этом на состояние туннеля OpenVPN.
40 сек. - это RouterDeadInterval по дефолту. -
Благодарю за скорый ответ!
Попытался подправить конфиги в веб-интерфейсе (pfsense 2.2.6) Services: Quagga OSPFd -> Inteface settings -> ovpncX -> "Hello Interval" = 5 and "Dead Timer" = 15 на двух роутерах (перезагрузил оба роутера) все поднялось, за исключением того, что OSPF перестал автоматом перестраивать маршруты. Вернул "Hello Interval" and "Dead Timer" в дефолтные настройки - все отлично работает и перестривает маршруты при падении или востановлении основного впн.Сначало настраивал по инструкциям в топике плюс замечания - итог, не работало как надо. Нашел вот такой ман: http://www.pfsense-br.org/blog/2014/01/configuracao-do-quagga-ospfd/ - заработало.
Вопрос состоит в следующем, как уменьшить время переключения с дефолтных 40 сек до 20 сек. Кто сталкивался с данной задачей?
Главный офис
bce1 - локальная сеть
Во вкладке "Interface Settings" добавлены только следующие впн-ы (а интерфейс локальной сети в данной вкладке не добавлен)
ovpns3 - главный впн
ovpns4 - резервный впнQuagga OSPF Interfaces (вкладка Status):
bce1 is up ifindex 6, MTU 1500 bytes, BW 0 Kbit <up,broadcast,running,simplex,multicast>Internet Address 192.168.5.3/16, Broadcast 192.168.255.255, Area 0.0.0.1 MTU mismatch detection:enabled Router ID 0.0.0.1, Network Type BROADCAST, Cost: 10 Transmit Delay is 1 sec, State DR, Priority 1 Designated Router (ID) 0.0.0.1, Interface Address 192.168.5.3 No backup designated router on this network Multicast group memberships: OSPFAllRouters OSPFDesignatedRouters Timer intervals configured, Hello 10s, Dead 40s, Wait 40s, Retransmit 5 Hello due in 3.070s Neighbor Count is 0, Adjacent neighbor count is 0 ovpns3 is up ifindex 13, MTU 1500 bytes, BW 0 Kbit <up,pointopoint,running,multicast>Internet Address 10.0.1.1/32, Peer 10.0.1.2, Area 0.0.0.1 MTU mismatch detection:enabled Router ID 0.0.0.1, Network Type POINTOPOINT, Cost: 5 Transmit Delay is 1 sec, State Point-To-Point, Priority 1 No designated router on this network No backup designated router on this network Multicast group memberships: OSPFAllRouters Timer intervals configured, Hello 10s, Dead 40s, Wait 40s, Retransmit 5 Hello due in 5.833s Neighbor Count is 1, Adjacent neighbor count is 1 ovpns4 is up ifindex 14, MTU 1500 bytes, BW 0 Kbit <up,pointopoint,running,multicast>Internet Address 10.0.2.1/32, Peer 10.0.2.2, Area 0.0.0.1 MTU mismatch detection:enabled Router ID 0.0.0.1, Network Type POINTOPOINT, Cost: 10 Transmit Delay is 1 sec, State Point-To-Point, Priority 1 No designated router on this network No backup designated router on this network Multicast group memberships: OSPFAllRouters Timer intervals configured, Hello 10s, Dead 40s, Wait 40s, Retransmit 5 Hello due in 3.682s Neighbor Count is 1, Adjacent neighbor count is 1</up,pointopoint,running,multicast></up,pointopoint,running,multicast></up,broadcast,running,simplex,multicast> -
В настройках есть вкладка Raw Config. Можно поместить туда текущее содержимое /var/etc/quagga/ospfd.conf и /var/etc/quagga/zebra.conf, потом править опции, которые недоступны из GUI. Сам не пробовал.
-
Спасибо за ответ, но настройка данный опций есть в GUI, раздел настройки интерфейсов OSPF. Вопрос в том, как это правильно сделать, учитывая мой предыдущий пост.
-
Проглядел, извиняюсь. Пробуйте другие значения, Dead Timer кратен Hello Interval, на интерфейсах, смотрящих друг на друга, настройки одинаковые. Готовых ответов тут нет, только метод тыка и аккуратность.
-
Всем добра!
OpenVPN в режиме PSK
Добавляю интерфейс в статический вот так https://forum.pfsense.org/index.php?topic=58846.msg316063#msg316063
Проблема вот какие:
0) как только создаю интерфейс - моментально пропадает маршрутизация до IP адресов из туннеля с компа в LAN, и моментально отваливается канал в удалённую сетку. При этом пинг с интерфейсов openVPN работает и до другого конца туннеля, и до удалённой сетки!- в floating rules нельзя указывать Gateways
- если в RULES например LAN интерфейса я указываю разрешающее правило вида LAN_NET->remote_net через шлюз openVPN – маршрутизация ни в адреса туннеля, ни в удалённую сетку не появляется. Пакеты для remote_net летят в default шлюз и там вешаются в state, а пакеты для туннельного адреса вешаются на верный интерфейс. Тут есть некоторая примечательная разница:
пинг другого конца туннеля
^C
C:\Users\test1>ping 192.168.200.6Обмен пакетами с 192.168.200.6 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.пинг компа в remote_net
C:\Users\test1>ping 192.168.40.100
Обмен пакетами с 192.168.40.100 по с 32 байтами данных:
Ответ от 192.168.1.1: Заданный узел недоступен.
Ответ от 192.168.1.1: Заданный узел недоступен.Получается, маршрутер пытается прогнать пакет по своей внутренней маршрутизации?
Как можно вылечить?
-
После добавления интерфейса надо бы правило на нем правило создать в firewall > rules, чтобы пускало трафик
В floating rules gateway указывать можно, надо только понимать, что src ip пакетов завернутых правилом в туннель будет ip wan -
После добавления интерфейса надо бы правило на нем правило создать в firewall > rules, чтобы пускало трафик
В floating rules gateway указывать можно, надо только понимать, что src ip пакетов завернутых правилом в туннель будет ip wanпопробовал. Не даёт сохранить.
![2016-02-11 12-50-15 win7 test 1 [????????] - Oracle VM VirtualBox.png](/public/imported_attachments/1/2016-02-11 12-50-15 win7 test 1 [????????] - Oracle VM VirtualBox.png)
![2016-02-11 12-50-15 win7 test 1 [????????] - Oracle VM VirtualBox.png_thumb](/public/imported_attachments/1/2016-02-11 12-50-15 win7 test 1 [????????] - Oracle VM VirtualBox.png_thumb) -
рулесы прописаны звёздочками и на openvpn, и на ручном интерфейсе
![2016-02-11 12-56-01 win7 test 1 [????????] - Oracle VM VirtualBox.png](/public/imported_attachments/1/2016-02-11 12-56-01 win7 test 1 [????????] - Oracle VM VirtualBox.png)
![2016-02-11 12-56-01 win7 test 1 [????????] - Oracle VM VirtualBox.png_thumb](/public/imported_attachments/1/2016-02-11 12-56-01 win7 test 1 [????????] - Oracle VM VirtualBox.png_thumb) -
Нужно выбрать направление пакетов - out
-
Нужно выбрать направление пакетов - out
поясните. Я не понял о чём речь.
М.б. вы об этом…...![2016-02-11 14-35-50 win7 test 1 [????????] - Oracle VM VirtualBox.png](/public/imported_attachments/1/2016-02-11 14-35-50 win7 test 1 [????????] - Oracle VM VirtualBox.png)
![2016-02-11 14-35-50 win7 test 1 [????????] - Oracle VM VirtualBox.png_thumb](/public/imported_attachments/1/2016-02-11 14-35-50 win7 test 1 [????????] - Oracle VM VirtualBox.png_thumb) -
проблема в шлюзе по умолчанию для основной таблицы маршрутизации у pf-а!!
Если выставить основным шлюзом OpenVPN интерфейс НА ОБОИХ pfsense - всё работает без нареканий!!!Как с этим бороться?
-
2 derwin
1. Не нужно создавать руками отдельно Openvpn-интерфейсы.
2. Не трогайте флоатинг рулез - настраивайте обычные на интерфейсах. Потом с ними разберетесь.
3. При создании правил на LAN для доступа к сетям впн не надо указывать gw. -
Вы чего добиться-то пытаетесь? Того, что в этой ссылке: https://forum.pfsense.org/index.php?topic=58846.msg316063#msg316063 ? Тогда там floating rule с gateway и direction out
Я тоже перестал что либо понимать
