OpenVPN PSK: Site-to-Site инструкция для обсуждения

derwin

Всем добра!

OpenVPN в режиме PSK
Добавляю интерфейс в статический вот так https://forum.pfsense.org/index.php?topic=58846.msg316063#msg316063
Проблема вот какие:
0) как только создаю интерфейс - моментально пропадает маршрутизация до IP адресов из туннеля с компа в LAN, и моментально отваливается канал в удалённую сетку. При этом пинг с интерфейсов openVPN работает и до другого конца туннеля, и до удалённой сетки!

1. в floating rules нельзя указывать Gateways
2. если в RULES например LAN интерфейса я указываю разрешающее правило вида LAN_NET->remote_net через шлюз openVPN – маршрутизация ни в адреса туннеля, ни в удалённую сетку не появляется. Пакеты для remote_net летят в default шлюз и там вешаются в state, а пакеты для туннельного адреса вешаются на верный интерфейс. Тут есть некоторая примечательная разница:
   пинг другого конца туннеля

^C
C:\Users\test1>ping 192.168.200.6

Обмен пакетами с 192.168.200.6 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

пинг компа в remote_net

C:\Users\test1>ping 192.168.40.100

Обмен пакетами с 192.168.40.100 по с 32 байтами данных:
Ответ от 192.168.1.1: Заданный узел недоступен.
Ответ от 192.168.1.1: Заданный узел недоступен.

Получается, маршрутер пытается прогнать пакет по своей внутренней маршрутизации?

Как можно вылечить?

rubic

После добавления интерфейса надо бы правило на нем правило создать в firewall > rules, чтобы пускало трафик
В floating rules gateway указывать можно, надо только понимать, что src ip пакетов завернутых правилом в туннель будет ip wan

derwin

@rubic:

После добавления интерфейса надо бы правило на нем правило создать в firewall > rules, чтобы пускало трафик
В floating rules gateway указывать можно, надо только понимать, что src ip пакетов завернутых правилом в туннель будет ip wan

попробовал. Не даёт сохранить.

![2016-02-11 12-50-15 win7 test 1 [????????] - Oracle VM VirtualBox.png](/public/imported_attachments/1/2016-02-11 12-50-15 win7 test 1 [????????] - Oracle VM VirtualBox.png)
![2016-02-11 12-50-15 win7 test 1 [????????] - Oracle VM VirtualBox.png_thumb](/public/imported_attachments/1/2016-02-11 12-50-15 win7 test 1 [????????] - Oracle VM VirtualBox.png_thumb)

derwin

рулесы прописаны звёздочками и на openvpn, и на ручном интерфейсе

![2016-02-11 12-56-01 win7 test 1 [????????] - Oracle VM VirtualBox.png](/public/imported_attachments/1/2016-02-11 12-56-01 win7 test 1 [????????] - Oracle VM VirtualBox.png)
![2016-02-11 12-56-01 win7 test 1 [????????] - Oracle VM VirtualBox.png_thumb](/public/imported_attachments/1/2016-02-11 12-56-01 win7 test 1 [????????] - Oracle VM VirtualBox.png_thumb)

rubic

Нужно выбрать направление пакетов - out

derwin

@rubic:

Нужно выбрать направление пакетов - out

поясните. Я не понял о чём речь.
М.б. вы об этом…...

![2016-02-11 14-35-50 win7 test 1 [????????] - Oracle VM VirtualBox.png](/public/imported_attachments/1/2016-02-11 14-35-50 win7 test 1 [????????] - Oracle VM VirtualBox.png)
![2016-02-11 14-35-50 win7 test 1 [????????] - Oracle VM VirtualBox.png_thumb](/public/imported_attachments/1/2016-02-11 14-35-50 win7 test 1 [????????] - Oracle VM VirtualBox.png_thumb)

derwin

проблема в шлюзе по умолчанию для основной таблицы маршрутизации у pf-а!!
Если выставить основным шлюзом OpenVPN интерфейс НА ОБОИХ pfsense - всё работает без нареканий!!!

Как с этим бороться?

werter

2 derwin

1. Не нужно создавать руками отдельно Openvpn-интерфейсы.
2. Не трогайте флоатинг рулез - настраивайте обычные на интерфейсах. Потом с ними разберетесь.
3. При создании правил на LAN для доступа к сетям впн не надо указывать gw.

rubic

Вы чего добиться-то пытаетесь? Того, что в этой ссылке: https://forum.pfsense.org/index.php?topic=58846.msg316063#msg316063 ? Тогда там floating rule с gateway и direction out
Я тоже перестал что либо понимать

Angel_19

Создал соединение по первой инструкции.
Тунели поднимаются, но компы двух локалок не видят друг друга! Но если пробовать на самом pfSense из филиала пинговать компы цент. офиса, то пинги идут, аналогично и наоборот, на pfSense из центр. офиса пинги идут до компов филиала.

Что не так?

werter

Поищите статьи по OpenVPN на ixbt. Там на русском.

Уже занянчили, если честно, элементарными вопросами по OpenVPN.

Angel_19

IPSec туннели по тем же маршрутам нужно именно выключить, а не переводить их в состояние когда они не могут подключиться! (Я делал именно так.)
Все работает.  8)

Если у меня в центр. офисе там где сервер OpenVPN используются два провайдера интернета, то я могу на клиенте добавить второй IP для подключения так:

remote 4.3.2.1 1194

в секции Advanced?

werter

Поищите статьи по OpenVPN на ixbt. Там на русском.

A Former User

Здравствуйте.
Сегодня решил обновить фаервол на филиале.
никак не получается настроить чтобы pfsense на филиале смог пробиться в интернет за обновлениями.
Все правила создавал как в инструкции. За одним исключением. У меня в головном офисе VLANы сделаны. То есть по одному оптоволокну идет и VPN и INternet. Соответственно с тегами сделаны виртуальные интерфейсы. Я уже пробовал и на VPN занатить в головном офисе и на Internet. Ничего не получается.

И второй вопрос:
Назрел вариант установки домен контроллера для всех подсетей. А так как у меня сейчас настройки типа TUN, то надо будет создавать разные леса, а этого не хотелось бы. Как можно поменять интерфейс с TUN на TAP, чтобы все было в одной подсети, и какие подводные камни. Я пересмотрел кучу мануалов, но так и не понял как это должно работать. Понял только, что надо будет добавлять Brige режим.

Catwoolfii

Доброго времени суток. Я настроил по инструкции из 1-го поста, но у меня локальные подсети маршрутизаторов были недоступны друг для друга. Проблема заключалась в том, что "Remote network" надо указывать не свою локальную подсеть, а удаленную! Грубо говоря, на сервере надо ввести 192.168.10.0/24 в качестве "Remote network", а на клиенте соответсвенно 192.168.20.0/24. Исправьте инструкцию, пожалуйста.

P.S. Еще раз посмотрел первый пост, разобрался.

werter

Доброе
В инс-ции на 1-й странице все верно указано. Проверяйте у себя.

Igor Filth

Ссылки на скриншоты в инструкции умерли  :-\

pigbrother

@Igor:

Ссылки на скриншоты в инструкции умерли  :-\

Недавно тоже обращался к этому каноническому посту - картинок нет. Пришлось вспоминать.

rubic

приаттачил к первому посту

trooto

А можно еще картинки "как инет пустить туда"