OpenVPN не работают маршруты
-
Приветствую!
Организовал связь м/у сервером OpenVPN на pfSense и клиентом на Windows 7. Туннель работает, маршруты есть, правила на фаерволле pfSense разрешают всё, а вот пинг никуда не идёт с клиента :(
Почему так? Где может быть косяк? -
1. Клиент запускается от администратора?
2. pfSense являются шлюзом по умолчанию для пингуемых машин?
3. Файрволл на пингуемых машинах отключен\настроен? По умолчанию он блокирует все пакеты из других подсетей.
4. Подсети за pfSense и в сети клиента не совпадают?правила на фаерволле pfSense разрешают всё
Проверьте еще раз, что все=any, а не TCP/UDP -
Все эти условия соблюдаются, а пинга нет… :(
-
Где-то что-то блочит, потому что даже если поставить "Redirect all VPN traffic over default gateway", то ВООБЩЕ ничего не пингается, даже google dns - 8.8.8.8. Т.е. явно, где-то что-то блочит жестко.
-
Заметил, что в логах со стороны сервера OpenVPN пишется вот такое:
Jan 11 22:31:54 openvpn[3005]: www.test.com/x.xx.xx.xx:51445 IP packet with unknown IP version=15 seen Jan 11 22:32:04 openvpn[3005]: www.test.com/x.xx.xx.xx:51445 IP packet with unknown IP version=15 seen Jan 11 22:32:14 openvpn[3005]: www.test.com/x.xx.xx.xx:51445 IP packet with unknown IP version=15 seen Jan 11 22:32:24 openvpn[3005]: www.test.com/x.xx.xx.xx:51445 IP packet with unknown IP version=15 seen
-
Предположу несовпадение конфигов клиента и сервера (lzo?)
https://forums.openvpn.net/topic15588.html
http://carryflag.blogspot.com.by/2015/05/openvpn-ip-packet-with-unknown-ip.html
Используйте для клиента пакет Client Export Utility -
не, конфиги нормальные, они же со стороны сервера генерятся автоматом совместно с сертификатом, там всё ок, дело в чем-то другом…
-
@Electric^shock:
не, конфиги нормальные, они же со стороны сервера генерятся автоматом совместно с сертификатом, там всё ок, дело в чем-то другом…
Доброе.
Скажите, а без скринов настроек Вы сами лично смогли бы помочь такому вопрошающему как Вы? -
Приветствую!
PfSense Server OpenVPN режим - Remote Access (SSL/TLS).
Добился того, что OpenVPN-клиент подключается и видит/пингует сам OpenVPN-сервер (в данном случае 10.10.10.0/24 - Tunnel Network, т.е сервер 10.10.10.1 пингуется и все ОК) но дальше за этим сервером клиент ничего не видит, хоть на сервере и прописана подсеть 192.168.0.0/20 и маршрут на клиенте до неё есть, но пустота, с чем это может быть связано? Да, да, именно 20-ая маска (я не ошибся, сеть большая). В Firewall'e разрешено всё и всем на интерфейсе "OpenVPN". Логи читал, ничего там не блочится.
Маршрут виндового клиента:IPv4 таблица маршрута =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрик 0.0.0.0 0.0.0.0 192.168.11.1 192.168.11.218 25 10.10.10.0 255.255.255.0 10.10.10.1 10.10.10.2 20 10.10.10.0 255.255.255.252 On-link 10.10.10.2 276 10.10.10.2 255.255.255.255 On-link 10.10.10.2 276 10.10.10.3 255.255.255.255 On-link 10.10.10.2 276 127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 192.168.0.0 255.255.240.0 10.10.10.1 10.10.10.2 20 192.168.11.0 255.255.255.0 On-link 192.168.11.218 281 192.168.11.218 255.255.255.255 On-link 192.168.11.218 281 192.168.11.255 255.255.255.255 On-link 192.168.11.218 281 224.0.0.0 240.0.0.0 On-link 127.0.0.1 306 224.0.0.0 240.0.0.0 On-link 192.168.11.218 281 224.0.0.0 240.0.0.0 On-link 10.10.10.2 276 255.255.255.255 255.255.255.255 On-link 127.0.0.1 306 255.255.255.255 255.255.255.255 On-link 192.168.11.218 281 255.255.255.255 255.255.255.255 On-link 10.10.10.2 276
-
Доброе.
1. Схема сети.
2. Скрины настроек.
3. Не входит ли сеть клиента в 192.168.0.0/20 ? Какая адресация у клиента ? -
Доброе.
1. Схема сети.
2. Скрины настроек.
3. Не входит ли сеть клиента в 192.168.0.0/20 ? Какая адресация у клиента ?1. Схему pfSense и клиентских настроек прилагаю;
2. Скрины тоже;
3. Не входит, у клиента 192.168.50.0 (поменял).Еще раз route print с клиента:
IPv4 таблица маршрута =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 192.168.50.1 192.168.50.218 25 10.10.10.0 255.255.255.0 10.10.10.5 10.10.10.6 20 10.10.10.4 255.255.255.252 On-link 10.10.10.6 276 10.10.10.6 255.255.255.255 On-link 10.10.10.6 276 10.10.10.7 255.255.255.255 On-link 10.10.10.6 276 127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 192.168.0.0 255.255.240.0 10.10.10.5 10.10.10.6 20 192.168.50.0 255.255.255.0 On-link 192.168.50.218 281 192.168.50.218 255.255.255.255 On-link 192.168.50.218 281 192.168.50.255 255.255.255.255 On-link 192.168.50.218 281 224.0.0.0 240.0.0.0 On-link 127.0.0.1 306 224.0.0.0 240.0.0.0 On-link 192.168.50.218 281 224.0.0.0 240.0.0.0 On-link 10.10.10.6 276 255.255.255.255 255.255.255.255 On-link 127.0.0.1 306 255.255.255.255 255.255.255.255 On-link 192.168.50.218 281 255.255.255.255 255.255.255.255 On-link 10.10.10.6 276 ===========================================================================
- Клиентский файл конфигурации OpenVPN:
dev tun persist-tun persist-key cipher AES-256-CBC auth SHA1 tls-client client resolv-retry infinite remote X.X.X.X 1197 udp lport 0 verify-x509-name "server.net" name pkcs12 pfsense-udp-1197-mazdaspeed.p12 tls-auth pfsense-udp-1197-mazdaspeed-tls.key 1 ns-cert-type server
-
Ура! Заработало!
Дело было в том, что на клиентских хостах был указан другой шлюз по умолчанию, выставил шлюзом по умолчанию IP pfSense, на котором поднял OpenVPN и все заработало!!! -
Как теперь сделать так, чтобы OpenVPN-клиентам выдавались определенные IP-адреса, либо создать резервацию MAC+IP?
А то что-то не нашёл там такого. -
В гугле static ip openvpn
P.s. Если у Вас клиенты вер. 2.3.х, можно на сервере поставить галку на Topology , чтобы при подкл. получали один ip , а не подсеть из 4-х адресов.
-
@Electric^shock:
Как теперь сделать так, чтобы OpenVPN-клиентам выдавались определенные IP-адреса, либо создать резервацию MAC+IP?
А то что-то не нашёл там такого.Не по MAC, а по common name из сертификата.
Обсуждалось тут:
https://forum.pfsense.org/index.php?topic=106612.msg594014#msg594014 -
В гугле static ip openvpn
P.s. Если у Вас клиенты вер. 2.3.х, можно на сервере поставить галку на Topology , чтобы при подкл. получали один ip , а не подсеть из 4-ех адресов.
Благодарю!