OpenVPN не работают маршруты
-
Где-то что-то блочит, потому что даже если поставить "Redirect all VPN traffic over default gateway", то ВООБЩЕ ничего не пингается, даже google dns - 8.8.8.8. Т.е. явно, где-то что-то блочит жестко.
-
Заметил, что в логах со стороны сервера OpenVPN пишется вот такое:
Jan 11 22:31:54 openvpn[3005]: www.test.com/x.xx.xx.xx:51445 IP packet with unknown IP version=15 seen Jan 11 22:32:04 openvpn[3005]: www.test.com/x.xx.xx.xx:51445 IP packet with unknown IP version=15 seen Jan 11 22:32:14 openvpn[3005]: www.test.com/x.xx.xx.xx:51445 IP packet with unknown IP version=15 seen Jan 11 22:32:24 openvpn[3005]: www.test.com/x.xx.xx.xx:51445 IP packet with unknown IP version=15 seen -
Предположу несовпадение конфигов клиента и сервера (lzo?)
https://forums.openvpn.net/topic15588.html
http://carryflag.blogspot.com.by/2015/05/openvpn-ip-packet-with-unknown-ip.html
Используйте для клиента пакет Client Export Utility -
не, конфиги нормальные, они же со стороны сервера генерятся автоматом совместно с сертификатом, там всё ок, дело в чем-то другом…
-
@Electric^shock:
не, конфиги нормальные, они же со стороны сервера генерятся автоматом совместно с сертификатом, там всё ок, дело в чем-то другом…
Доброе.
Скажите, а без скринов настроек Вы сами лично смогли бы помочь такому вопрошающему как Вы? -
Приветствую!
PfSense Server OpenVPN режим - Remote Access (SSL/TLS).
Добился того, что OpenVPN-клиент подключается и видит/пингует сам OpenVPN-сервер (в данном случае 10.10.10.0/24 - Tunnel Network, т.е сервер 10.10.10.1 пингуется и все ОК) но дальше за этим сервером клиент ничего не видит, хоть на сервере и прописана подсеть 192.168.0.0/20 и маршрут на клиенте до неё есть, но пустота, с чем это может быть связано? Да, да, именно 20-ая маска (я не ошибся, сеть большая). В Firewall'e разрешено всё и всем на интерфейсе "OpenVPN". Логи читал, ничего там не блочится.
Маршрут виндового клиента:IPv4 таблица маршрута =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрик 0.0.0.0 0.0.0.0 192.168.11.1 192.168.11.218 25 10.10.10.0 255.255.255.0 10.10.10.1 10.10.10.2 20 10.10.10.0 255.255.255.252 On-link 10.10.10.2 276 10.10.10.2 255.255.255.255 On-link 10.10.10.2 276 10.10.10.3 255.255.255.255 On-link 10.10.10.2 276 127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 192.168.0.0 255.255.240.0 10.10.10.1 10.10.10.2 20 192.168.11.0 255.255.255.0 On-link 192.168.11.218 281 192.168.11.218 255.255.255.255 On-link 192.168.11.218 281 192.168.11.255 255.255.255.255 On-link 192.168.11.218 281 224.0.0.0 240.0.0.0 On-link 127.0.0.1 306 224.0.0.0 240.0.0.0 On-link 192.168.11.218 281 224.0.0.0 240.0.0.0 On-link 10.10.10.2 276 255.255.255.255 255.255.255.255 On-link 127.0.0.1 306 255.255.255.255 255.255.255.255 On-link 192.168.11.218 281 255.255.255.255 255.255.255.255 On-link 10.10.10.2 276 -
Доброе.
1. Схема сети.
2. Скрины настроек.
3. Не входит ли сеть клиента в 192.168.0.0/20 ? Какая адресация у клиента ? -
Доброе.
1. Схема сети.
2. Скрины настроек.
3. Не входит ли сеть клиента в 192.168.0.0/20 ? Какая адресация у клиента ?1. Схему pfSense и клиентских настроек прилагаю;
2. Скрины тоже;
3. Не входит, у клиента 192.168.50.0 (поменял).Еще раз route print с клиента:
IPv4 таблица маршрута =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 192.168.50.1 192.168.50.218 25 10.10.10.0 255.255.255.0 10.10.10.5 10.10.10.6 20 10.10.10.4 255.255.255.252 On-link 10.10.10.6 276 10.10.10.6 255.255.255.255 On-link 10.10.10.6 276 10.10.10.7 255.255.255.255 On-link 10.10.10.6 276 127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 192.168.0.0 255.255.240.0 10.10.10.5 10.10.10.6 20 192.168.50.0 255.255.255.0 On-link 192.168.50.218 281 192.168.50.218 255.255.255.255 On-link 192.168.50.218 281 192.168.50.255 255.255.255.255 On-link 192.168.50.218 281 224.0.0.0 240.0.0.0 On-link 127.0.0.1 306 224.0.0.0 240.0.0.0 On-link 192.168.50.218 281 224.0.0.0 240.0.0.0 On-link 10.10.10.6 276 255.255.255.255 255.255.255.255 On-link 127.0.0.1 306 255.255.255.255 255.255.255.255 On-link 192.168.50.218 281 255.255.255.255 255.255.255.255 On-link 10.10.10.6 276 ===========================================================================- Клиентский файл конфигурации OpenVPN:
dev tun persist-tun persist-key cipher AES-256-CBC auth SHA1 tls-client client resolv-retry infinite remote X.X.X.X 1197 udp lport 0 verify-x509-name "server.net" name pkcs12 pfsense-udp-1197-mazdaspeed.p12 tls-auth pfsense-udp-1197-mazdaspeed-tls.key 1 ns-cert-type server
-
Ура! Заработало!
Дело было в том, что на клиентских хостах был указан другой шлюз по умолчанию, выставил шлюзом по умолчанию IP pfSense, на котором поднял OpenVPN и все заработало!!! -
Как теперь сделать так, чтобы OpenVPN-клиентам выдавались определенные IP-адреса, либо создать резервацию MAC+IP?
А то что-то не нашёл там такого. -
В гугле static ip openvpn
P.s. Если у Вас клиенты вер. 2.3.х, можно на сервере поставить галку на Topology , чтобы при подкл. получали один ip , а не подсеть из 4-х адресов.
-
@Electric^shock:
Как теперь сделать так, чтобы OpenVPN-клиентам выдавались определенные IP-адреса, либо создать резервацию MAC+IP?
А то что-то не нашёл там такого.Не по MAC, а по common name из сертификата.
Обсуждалось тут:
https://forum.pfsense.org/index.php?topic=106612.msg594014#msg594014 -
В гугле static ip openvpn
P.s. Если у Вас клиенты вер. 2.3.х, можно на сервере поставить галку на Topology , чтобы при подкл. получали один ip , а не подсеть из 4-ех адресов.
Благодарю!
