Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    проблема у клиента при доступе к филиалу

    Scheduled Pinned Locked Moved Russian
    22 Posts 4 Posters 3.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • R
      rubic
      last edited by

      @aka_daemon:

      так как у меня 2wan, то мне пришлось сделать след. образом: в настройках сервера для клиентов интерфейсом указан "LocalHost", сделан проброс порта 1194 с WAN1-2 на 127.0.0.1

      Не представляю как это может работать, и дело совсем не в  OSPF, а во внутренней маршрутизации OpenVPN в режимах SSL/TLS (см. Status: OpenVPN > Show Routing Table на сервере). Если у вас один сервер в Off1 и два клиента в Off2, то чтобы Off1 видел локальную сеть Off2 вы на сервере должны были указать локальную сеть Off2 в Client Specific Overrides для каждого клиента (см. IPv4 Remote Network/s - аналог iroute). Без этого связи не будет независимо от системных маршрутов pfSense.

      Проблема в том, что, если за обоими клиентами одна и та же сеть, то внутренний OpenVPN-маршрут будет проложен через клиента, который подключится последним и, если впоследствии клиент отключится, то маршрут на сервере исчезнет вместе с ним и со связью.

      1 Reply Last reply Reply Quote 0
      • A
        aka_daemon
        last edited by

        @rubic:

        @aka_daemon:

        так как у меня 2wan, то мне пришлось сделать след. образом: в настройках сервера для клиентов интерфейсом указан "LocalHost", сделан проброс порта 1194 с WAN1-2 на 127.0.0.1

        Не представляю как это может работать, и дело совсем не в  OSPF, а во внутренней маршрутизации OpenVPN в режимах SSL/TLS (см. Status: OpenVPN > Show Routing Table на сервере). Если у вас один сервер в Off1 и два клиента в Off2, то чтобы Off1 видел локальную сеть Off2 вы на сервере должны были указать локальную сеть Off2 в Client Specific Overrides для каждого клиента (см. IPv4 Remote Network/s - аналог iroute). Без этого связи не будет независимо от системных маршрутов pfSense.

        Проблема в том, что, если за обоими клиентами одна и та же сеть, то внутренний OpenVPN-маршрут будет проложен через клиента, который подключится последним и, если впоследствии клиент отключится, то маршрут на сервере исчезнет вместе с ним и со связью.

        при создании vpn для удалённых клиентов руководствовался этой статьёй - https://doc.pfsense.org/index.php/Multi-WAN_OpenVPN.

        на шлюзе Off1 подняты два vpn сервера 10.2.0.0 и 10.3.0.0, на шлюзе Off2 подняты два клиента до Off1 для резервирования. режим работы vpn - p2p.

        Off1(192.168.0.0/24)<–--10.2.0.0/30------Off2(10.2.2.0/24)
        Off1(192.168.0.0/24)<----10.3.0.0/30------Off2(10.2.2.0/24)

        Удалённый клиент подключается либо к wan1 off1 либо к wan2 off1 в зависимости от доступности оных, получает ip из сети 10.1.0.0/24 и маршруты в сети филиалов, к примеру 10.2.2.0/24.

        при этом в ospf на Off1:

        
============ OSPF network routing table ============
N    10.1.0.2/32           [10] area: 1.1.1.1
                           directly attached to ovpns7
N    10.2.0.2/32           [10] area: 1.1.1.1
                           directly attached to ovpns1
N    10.2.2.0/24           [20] area: 1.1.1.1
                           via 10.2.0.2, ovpns1
N    10.3.0.2/32           [20] area: 1.1.1.1
                           directly attached to ovpns2
N    10.4.0.2/32           [10] area: 1.1.1.1
                           directly attached to ovpns3
N    10.5.0.2/32           [20] area: 1.1.1.1
                           directly attached to ovpns4
N    10.6.0.2/32           [10] area: 1.1.1.1
                           directly attached to ovpns5
N    10.7.0.2/32           [20] area: 1.1.1.1
                           directly attached to ovpns6
N    192.168.0.0/24        [10] area: 1.1.1.1
                           directly attached to re1
N    192.168.2.0/24        [20] area: 1.1.1.1
                           via 10.4.0.2, ovpns3
N    192.168.4.0/24        [20] area: 1.1.1.1
                           via 10.6.0.2, ovpns5


        
Codes: K - kernel route, C - connected, S - static, R - RIP,
O - OSPF, I - IS-IS, B - BGP, A - Babel,
> - selected route, * - FIB route

K>* 0.0.0.0/0 via 31.28.192.1, pppoe0
K>* 10.1.0.0/24 via 10.1.0.2, ovpns7
O   10.1.0.2/32 [110/10] is directly connected, ovpns7, 13:46:48
C>* 10.1.0.2/32 is directly connected, ovpns7
O   10.2.0.2/32 [110/10] is directly connected, ovpns1, 13:46:48
C>* 10.2.0.2/32 is directly connected, ovpns1
O>* 10.2.2.0/24 [110/20] via 10.2.0.2, ovpns1, 02:29:57
O   10.3.0.2/32 [110/20] is directly connected, ovpns2, 13:46:48
C>* 10.3.0.2/32 is directly connected, ovpns2
O   10.4.0.2/32 [110/10] is directly connected, ovpns3, 13:46:48
C>* 10.4.0.2/32 is directly connected, ovpns3
O   10.5.0.2/32 [110/20] is directly connected, ovpns4, 13:46:48
C>* 10.5.0.2/32 is directly connected, ovpns4
O   10.6.0.2/32 [110/10] is directly connected, ovpns5, 13:46:48
C>* 10.6.0.2/32 is directly connected, ovpns5
O   10.7.0.2/32 [110/20] is directly connected, ovpns6, 13:46:48
C>* 10.7.0.2/32 is directly connected, ovpns6
C>* 127.0.0.0/8 is directly connected, lo0
O   192.168.0.0/24 [110/10] is directly connected, re1, 13:46:48
C>* 192.168.0.0/24 is directly connected, re1
O>* 192.168.2.0/24 [110/20] via 10.4.0.2, ovpns3, 13:46:43
O>* 192.168.4.0/24 [110/20] via 10.6.0.2, ovpns5, 13:46:35

        в таблице маршрутов Off1:

        
10.1.0.0/24	10.1.0.2	UGS	30463	1500	ovpns7
10.1.0.1	link#16	UHS	0	16384	lo0
10.1.0.2	link#16	UH	90	1500	ovpns7

        при этом в ospf на Off2:

        
============ OSPF network routing table ============
N    10.1.0.2/32           [20] area: 1.1.1.1
                           via 10.2.0.1, ovpnc2
N    10.2.0.1/32           [10] area: 1.1.1.1
                           directly attached to ovpnc2
N    10.2.2.0/24           [10] area: 1.1.1.1
                           directly attached to rl0
N    10.3.0.1/32           [20] area: 1.1.1.1
                           directly attached to ovpnc1
N    10.4.0.1/32           [30] area: 1.1.1.1
                           via 10.2.0.1, ovpnc2
N    10.4.0.2/32           [20] area: 1.1.1.1
                           via 10.2.0.1, ovpnc2
N    10.5.0.1/32           [40] area: 1.1.1.1
                           via 10.2.0.1, ovpnc2
N    10.5.0.2/32           [30] area: 1.1.1.1
                           via 10.2.0.1, ovpnc2
N    10.6.0.1/32           [30] area: 1.1.1.1
                           via 10.2.0.1, ovpnc2
N    10.6.0.2/32           [20] area: 1.1.1.1
                           via 10.2.0.1, ovpnc2
N    10.7.0.1/32           [40] area: 1.1.1.1
                           via 10.2.0.1, ovpnc2
N    10.7.0.2/32           [30] area: 1.1.1.1
                           via 10.2.0.1, ovpnc2
N    192.168.0.0/24        [20] area: 1.1.1.1
                           via 10.2.0.1, ovpnc2
N    192.168.2.0/24        [30] area: 1.1.1.1
                           via 10.2.0.1, ovpnc2
N    192.168.4.0/24        [30] area: 1.1.1.1
                           via 10.2.0.1, ovpnc2


        
Codes: K - kernel route, C - connected, S - static, R - RIP,
       O - OSPF, I - IS-IS, B - BGP, A - Babel,
       > - selected route, * - FIB route

K>* 0.0.0.0/0 via 10.2.1.1, rl1
K>* 8.8.8.8/32 via 10.2.1.1, rl1
O>* 10.1.0.2/32 [110/20] via 10.2.0.1, ovpnc2, 02:33:47
O   10.2.0.1/32 [110/10] is directly connected, ovpnc2, 02:33:52
C>* 10.2.0.1/32 is directly connected, ovpnc2
C>* 10.2.1.0/24 is directly connected, rl1
K * 10.2.1.1/32 via 10.2.1.1 inactive
O   10.2.2.0/24 [110/10] is directly connected, rl0, 02:33:52
C>* 10.2.2.0/24 is directly connected, rl0
O   10.3.0.1/32 [110/20] is directly connected, ovpnc1, 02:33:52
C>* 10.3.0.1/32 is directly connected, ovpnc1
O>* 10.4.0.1/32 [110/30] via 10.2.0.1, ovpnc2, 02:33:47
O>* 10.4.0.2/32 [110/20] via 10.2.0.1, ovpnc2, 02:33:47
O>* 10.5.0.1/32 [110/40] via 10.2.0.1, ovpnc2, 02:33:47
O>* 10.5.0.2/32 [110/30] via 10.2.0.1, ovpnc2, 02:33:47
O>* 10.6.0.1/32 [110/30] via 10.2.0.1, ovpnc2, 02:33:47
O>* 10.6.0.2/32 [110/20] via 10.2.0.1, ovpnc2, 02:33:47
O>* 10.7.0.1/32 [110/40] via 10.2.0.1, ovpnc2, 02:33:47
O>* 10.7.0.2/32 [110/30] via 10.2.0.1, ovpnc2, 02:33:47
C>* 127.0.0.0/8 is directly connected, lo0
O>* 192.168.0.0/24 [110/20] via 10.2.0.1, ovpnc2, 02:33:47
O>* 192.168.2.0/24 [110/30] via 10.2.0.1, ovpnc2, 02:33:47
O>* 192.168.4.0/24 [110/30] via 10.2.0.1, ovpnc2, 02:33:47

        в таблице маршрутов Off2:

        
10.1.0.2	10.2.0.1	UGH1	0	81	1500	ovpnc2

        меня очень смущает вот что:

        
K>* 10.1.0.0/24 via 10.1.0.2, ovpns7

        Ведь когда у Off2 в vpn клиенте до Off1 был прописан статический маршрут в сеть 10.1.0.0/24, удалённый клиент видел сеть 10.2.2.0/24
        Следуя вашему совету и логике ospf, маршруты я убрал.

        1 Reply Last reply Reply Quote 0
        • R
          rubic
          last edited by

          @aka_daemon:

          режим работы vpn - p2p.

          Shared key или SSL/TLS?

          1 Reply Last reply Reply Quote 0
          • A
            aka_daemon
            last edited by

            @rubic:

            @aka_daemon:

            режим работы vpn - p2p.

            Shared key или SSL/TLS?

            Shared Key

            1 Reply Last reply Reply Quote 0
            • werterW
              werter
              last edited by

              2 aka_daemon

              при создании vpn для удалённых клиентов руководствовался этой статьёй - https://doc.pfsense.org/index.php/Multi-WAN_OpenVPN.

              Спасибо за ссылку. Как раз мой случай с неск. WAN.
              Только я в настр. сервера в Interface выбирал

              any

              . Так вот с TCP это на обоих WAN работало, а вот с UDP - нет.

              1 Reply Last reply Reply Quote 0
              • R
                rubic
                last edited by

                @aka_daemon:

                в таблице маршрутов Off1:

                
10.1.0.0/24   10.1.0.2   UGS   30463   1500   ovpns7
10.1.0.1   link#16   UHS   0   16384   lo0
10.1.0.2   link#16   UH   90   1500   ovpns7

                Это хрень какая-то. Должно быть:

                
10.1.0.0/24   10.1.0.1   UGS   30463   1500   ovpns7
10.1.0.1   link#16   UHS   0   16384   lo0
10.1.0.2   link#16   UH   90   1500   ovpns7

                В каком режиме подключаются мобильные клиенты (Road warriors, давайте уж называть их так, чтобы не путаться)?
                Ваш сетап очень простой. В обоих офисах в Services: Quagga OSPFd > Global Settings заполнить только Master Password, Router ID и Area

                В Off1 в Services: Quagga OSPFd > Interface Settings должны быть:

                Interface: LAN, Area, Interface is Passive
                Interface: ovpns1, [Metric] Area
                Interface: ovpns2, [Metric] Area
                Interface: ovpns7, Area, Interface is Passive

                В Off1 в Services: Quagga OSPFd > Interface Settings должны быть:

                Interface: LAN, Area, Interface is Passive
                Interface: ovpnc1, [Metric] Area
                Interface: ovpnc2, [Metric] Area

                Area везде одна, никаких статических маршрутов в соседние сети, push "route…" верните для Road warriors

                1 Reply Last reply Reply Quote 0
                • A
                  aka_daemon
                  last edited by

                  Режим работы RoadWarrior(мобильные клиенты) см. картинку

                  Прошёлся ещё раз по настройкам ospf обоих шлюзов, все так же как вы советуете.

                  Quagga OSPFd > Global Settings заполнить только Master Password, Router ID и Area

                  В Off1 в Services: Quagga OSPFd > Interface Settings должны быть:

                  Interface: LAN, Area, Interface is Passive
                  Interface: ovpns1, [Metric] Area
                  Interface: ovpns2, [Metric] Area
                  Interface: ovpns7, Area, Interface is Passive

                  В Off1 в Services: Quagga OSPFd > Interface Settings должны быть:

                  Interface: LAN, Area, Interface is Passive
                  Interface: ovpnc1, [Metric] Area
                  Interface: ovpnc2, [Metric] Area

                  Area везде одна, никаких статических маршрутов в соседние сети, push "route…" верните для Road warriors

                  off1:

                  
# This file was created by the pfSense package manager.  Do not edit!

password ***
log syslog
interface re1
interface ovpns1
  ip ospf cost 10
interface ovpns2
  ip ospf cost 20
interface ovpns7

router ospf
  ospf router-id 0.0.0.1
  passive-interface re1
  passive-interface ovpns7
  network 192.168.0.0/24 area 1.1.1.1
  network 10.2.0.0/30 area 1.1.1.1
  network 10.3.0.0/30 area 1.1.1.1

                  off2:

                  
# This file was created by the pfSense package manager.  Do not edit!

password ***
log syslog
interface rl0
interface ovpnc2
  ip ospf cost 10
interface ovpnc1
  ip ospf cost 20

router ospf
  ospf router-id 0.0.0.4
  passive-interface rl0
  network 10.2.2.0/24 area 1.1.1.1
  network 10.2.0.0/30 area 1.1.1.1
  network 10.3.0.0/30 area 1.1.1.1

                  999.jpg
                  999.jpg_thumb

                  1 Reply Last reply Reply Quote 0
                  • R
                    rubic
                    last edited by

                    В настройках OpenVPN сервера для Road warrios поставьте галку в чекбоксе "Topology". Вот так у вас должно быть в Off1 (см. последнюю строчку)

                    # This file was created by the pfSense package manager.  Do not edit!

password ***
log syslog
interface re1
interface ovpns1
  ip ospf cost 10
interface ovpns2
  ip ospf cost 20
interface ovpns7

router ospf
  ospf router-id 0.0.0.1
  passive-interface re1
  passive-interface ovpns7
  network 192.168.0.0/24 area 1.1.1.1
  network 10.2.0.0/30 area 1.1.1.1
  network 10.3.0.0/30 area 1.1.1.1
  network 10.1.0.0/24 area 1.1.1.1
                    1 Reply Last reply Reply Quote 0
                    • A
                      aka_daemon
                      last edited by

                      Спасибо всем, кто оказал помощь в решении данной проблемы.
                      Решение

                      В настройках OpenVPN сервера для Road warrios поставьте галку в чекбоксе "Topology"

                      , подсказанное rubic, оказалось правильным.
                      Прошу закрыть тему.

                      1 Reply Last reply Reply Quote 0
                      • R
                        rubic
                        last edited by

                        Я уже писал, что в режимах SSL/TLS topology subnet обязательна для использования OSPF. В новых версиях она, похоже, будет топологией по умолчанию.

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.