OpenVPN не работают маршруты

pigbrother

1. Клиент запускается от администратора?
2. pfSense являются шлюзом по умолчанию для пингуемых машин?
3. Файрволл на пингуемых машинах отключен\настроен? По умолчанию он блокирует все пакеты из других подсетей.
4. Подсети за pfSense и в сети клиента не совпадают?

правила на фаерволле pfSense разрешают всё
Проверьте еще раз, что все=any, а не TCP/UDP

Electricshock

Все эти условия соблюдаются, а пинга нет… :(

Electricshock

Где-то что-то блочит, потому что даже если поставить "Redirect all VPN traffic over default gateway", то ВООБЩЕ ничего не пингается, даже google dns - 8.8.8.8. Т.е. явно, где-то что-то блочит жестко.

Electricshock

Заметил, что в логах со стороны сервера OpenVPN пишется вот такое:

Jan 11 22:31:54	openvpn[3005]: www.test.com/x.xx.xx.xx:51445 IP packet with unknown IP version=15 seen
Jan 11 22:32:04	openvpn[3005]: www.test.com/x.xx.xx.xx:51445 IP packet with unknown IP version=15 seen
Jan 11 22:32:14	openvpn[3005]: www.test.com/x.xx.xx.xx:51445 IP packet with unknown IP version=15 seen
Jan 11 22:32:24	openvpn[3005]: www.test.com/x.xx.xx.xx:51445 IP packet with unknown IP version=15 seen

pigbrother

Предположу несовпадение конфигов клиента и сервера (lzo?)
https://forums.openvpn.net/topic15588.html
http://carryflag.blogspot.com.by/2015/05/openvpn-ip-packet-with-unknown-ip.html
Используйте для клиента пакет Client Export Utility

Electricshock

не, конфиги нормальные, они же со стороны сервера генерятся автоматом совместно с сертификатом, там всё ок, дело в чем-то другом…

werter

@Electric^shock:

не, конфиги нормальные, они же со стороны сервера генерятся автоматом совместно с сертификатом, там всё ок, дело в чем-то другом…

Доброе.
Скажите, а без скринов настроек Вы сами лично смогли бы помочь такому вопрошающему как Вы?

Electricshock

Приветствую!
PfSense Server OpenVPN режим - Remote Access (SSL/TLS).
Добился того, что OpenVPN-клиент подключается и видит/пингует сам OpenVPN-сервер (в данном случае 10.10.10.0/24 - Tunnel Network, т.е сервер 10.10.10.1 пингуется и все ОК) но дальше за этим сервером клиент ничего не видит, хоть на сервере и прописана подсеть 192.168.0.0/20 и маршрут на клиенте до неё есть, но пустота, с чем это может быть связано? Да, да, именно 20-ая маска (я не ошибся, сеть большая). В Firewall'e разрешено всё и всем на интерфейсе "OpenVPN". Логи читал, ничего там не блочится.
Маршрут виндового клиента:

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрик
          0.0.0.0          0.0.0.0     192.168.11.1   192.168.11.218     25
       10.10.10.0    255.255.255.0       10.10.10.1       10.10.10.2     20
       10.10.10.0  255.255.255.252         On-link        10.10.10.2    276
       10.10.10.2  255.255.255.255         On-link        10.10.10.2    276
       10.10.10.3  255.255.255.255         On-link        10.10.10.2    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.240.0       10.10.10.1       10.10.10.2     20
     192.168.11.0    255.255.255.0         On-link    192.168.11.218    281
   192.168.11.218  255.255.255.255         On-link    192.168.11.218    281
   192.168.11.255  255.255.255.255         On-link    192.168.11.218    281
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link    192.168.11.218    281
        224.0.0.0        240.0.0.0         On-link        10.10.10.2    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link    192.168.11.218    281
  255.255.255.255  255.255.255.255         On-link        10.10.10.2    276

werter

Доброе.
1. Схема сети.
2. Скрины настроек.
3. Не входит ли сеть клиента в 192.168.0.0/20 ? Какая адресация у клиента ?

Electricshock

@werter:

Доброе.
1. Схема сети.
2. Скрины настроек.
3. Не входит ли сеть клиента в 192.168.0.0/20 ? Какая адресация у клиента ?

1. Схему pfSense и клиентских настроек прилагаю;
2. Скрины тоже;
3. Не входит, у клиента 192.168.50.0 (поменял).

Еще раз route print с клиента:

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0     192.168.50.1   192.168.50.218     25
       10.10.10.0    255.255.255.0       10.10.10.5       10.10.10.6     20
       10.10.10.4  255.255.255.252         On-link        10.10.10.6    276
       10.10.10.6  255.255.255.255         On-link        10.10.10.6    276
       10.10.10.7  255.255.255.255         On-link        10.10.10.6    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.240.0       10.10.10.5       10.10.10.6     20
     192.168.50.0    255.255.255.0         On-link    192.168.50.218    281
   192.168.50.218  255.255.255.255         On-link    192.168.50.218    281
   192.168.50.255  255.255.255.255         On-link    192.168.50.218    281
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link    192.168.50.218    281
        224.0.0.0        240.0.0.0         On-link        10.10.10.6    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link    192.168.50.218    281
  255.255.255.255  255.255.255.255         On-link        10.10.10.6    276
===========================================================================

Клиентский файл конфигурации OpenVPN:

dev tun
persist-tun
persist-key
cipher AES-256-CBC
auth SHA1
tls-client
client
resolv-retry infinite
remote X.X.X.X 1197 udp
lport 0
verify-x509-name "server.net" name
pkcs12 pfsense-udp-1197-mazdaspeed.p12
tls-auth pfsense-udp-1197-mazdaspeed-tls.key 1
ns-cert-type server

1.jpg_thumb

2.jpg_thumb

3.jpg_thumb

4.jpg_thumb

Electricshock

Ура! Заработало!
Дело было в том, что на клиентских хостах был указан другой шлюз по умолчанию, выставил шлюзом по умолчанию IP pfSense, на котором поднял OpenVPN и все заработало!!!

Electricshock

Как теперь сделать так, чтобы OpenVPN-клиентам выдавались определенные IP-адреса, либо создать резервацию MAC+IP?
А то что-то не нашёл там такого.

werter

В гугле static ip openvpn

P.s. Если у Вас клиенты вер. 2.3.х, можно на сервере поставить галку на Topology , чтобы при подкл. получали один ip , а не подсеть из 4-х адресов.

pigbrother

@Electric^shock:

Как теперь сделать так, чтобы OpenVPN-клиентам выдавались определенные IP-адреса, либо создать резервацию MAC+IP?
А то что-то не нашёл там такого.

Не по MAC, а по common name из сертификата.
Обсуждалось тут:
https://forum.pfsense.org/index.php?topic=106612.msg594014#msg594014

Electricshock

@werter:

В гугле static ip openvpn

P.s. Если у Вас клиенты вер. 2.3.х, можно на сервере поставить галку на Topology , чтобы при подкл. получали один ip , а не подсеть из 4-ех адресов.

Благодарю!