Настройка openvpn
-
На все ваши вопросы есть ответы в приведенных ссылках. Например:
почему IP выдается с 6-го адреса
Потому что для совместимости со старыми клиентами Windows используется топология виртуальной сети net30. Хотите адресацию 1-2-3-4 - используйте топологию subnet. Делается это одной строкой\галкой в настройках, и это описано в приведенных ссылках.
-
Настройки в студию!
И какой было смысл слезать с Cisco, если там на порядок легче настройки?Шта ?? Вы это только не говорите никому.
-
Так это не мои слова))))))
А зачем их изолировать? Сотрудники работают удаленно, все что им нужно это доступ во внутреннюю корпоративную сеть. Сейчас подключаются через cisco, ее настроить было на порядок проще..
Настроено всё по мануалам… Почему шлюза нет?
-
Аааа, прошу пардону )
-
Присоединюсь.
Более наглядной\прозрачной настройки OpenVPN чем в pfSense придумать сложно. -
А кто нибудь таки может сказать, почему IP выдается с 6-го адреса, DHCP на 5-ом, шлюз на 1ом и не работает, и что сделать что бы шлюз хотя бы выдавался?
Сдается мне , что человек , к-ый не знает об адресации /30 (тип net30) openvpn врядли может бросаться фразами типа :
Сейчас подключаются через cisco, ее настроить было на порядок проще..
-
Что такое подсеть /30 я в курсе, с масками знаком. А вот что такое net30 не знает даже гугл.
https://www.google.ru/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#q=net30
-
_Сдается мне , что человек , к-ый не знает об адресации /30 (тип net30) openvpn врядли может бросаться фразами типа :
Quote
Сейчас подключаются через cisco, ее настроить было на порядок проще.._
Ну почему же. Если в интернете найти похожую конфигурацию и copy\paste в свою - это вполне возможно. Сам так делал :).С pfSense такое проделать несколько сложнее - все в GUI и настройки надо переносить вдумчиво.
Что такое подсеть /30 я в курсе, с масками знаком. А вот что такое net30 не знает даже гугл.
Знает. Кстати - в первой приведенной мною ссылке на инструкцию от rubic:
В режиме PKI по умолчанию используется топология net30. Создана она для обхода ограничения TAP-Win32 драйвера Microsoft в режиме эмуляции TUN интерфейса….
...Там же:
Если вы не собираетесь подключать Windows клиентов к OpenVPN серверу на pfSense, то можно использовать новую топологию subnet. В ней, если в настройках сервера в Tunnel Network стоит 10.0.8.0/24, то сервер получает адрес 10.0.8.1, а клиенты последовательно адреса 10.0.8.2, 10.0.8.3, …, 10.0.8.254. Одним словом, subnet.
-
2 Amigo83
А вы гуглу вопрос перефразируйте, может он вас не понял))))
https://community.openvpn.net/openvpn/wiki/Topology -
Если вы не собираетесь подключать Windows клиентов к OpenVPN серверу на pfSense, то можно использовать новую топологию subnet. В ней, если в настройках сервера в Tunnel Network стоит 10.0.8.0/24, то сервер получает адрес 10.0.8.1, а клиенты последовательно адреса 10.0.8.2, 10.0.8.3, …, 10.0.8.254. Одним словом, subnet
Как раз таки windows клиентов я и собираюсь подключать. А чем плоха subnet? Я не провайдер, мне не нужна изоляция сетей.
В такой конфигурации таблица маршрутизации правильная, пингуется и шлюз, 192.168.50.1 и lan интерфейс pfsense 192.168.1.150, вот только трафик не идёт на другие адреса 192.168.1.0/24
-
Настройки в студию!
-
dev ovpns1
verb 1
dev-type tun
tun-ipv6
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-256-CBC
auth SHA1
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
client-connect /usr/local/sbin/openvpn.attributes.sh
client-disconnect /usr/local/sbin/openvpn.attributes.sh
local 217.67..
tls-server
server 192.168.50.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc
username-as-common-name
auth-user-pass-verify "/usr/local/sbin/ovpn_auth_verify user 'Local Database' false server1" via-env
tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'VPN+Server+Cert' 1 "
lport 1194
management /var/etc/openvpn/server1.sock unix
max-clients 20
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DOMAIN it.local"
push "dhcp-option DNS 192.168.1.241"
client-to-client
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /etc/dh-parameters.1024
tls-auth /var/etc/openvpn/server1.tls-auth 0
comp-lzo adaptive
passtos
persist-remote-ip
float
topology subnet
push “route 192.168.1.0 255.255.255.0”В фаерволе скорее всего проблема..
-
Зачем два push "route 192.168.1.0 255.255.255.0" ?
-
Для тестов 8) Это я уберу
На фаеволе, в разделе openvpn трафик разрешен any to any, не пойму почему не ходит между 192.168.50.0/24 и 192.168.1.0/24
А где можно посмотреть лог фаервола?
-
Status-> System logs->Firewall
-
Если смотреть на LAN интерфейсе tcpdump, то я вижу запросы, но нет ответов((
192.168.60.2 - IP клиента openvpn
[2.2.6-RELEASE][admin@pfSense.localdomain]/var/log: tcpdump -i igb0 -n host 192.168.60.2
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on igb0, link-type EN10MB (Ethernet), capture size 65535 bytes
capability mode sandbox enabled
14:49:36.521499 IP 192.168.60.2 > 192.168.1.241: ICMP echo request, id 1, seq 700, length 40
14:49:41.473601 IP 192.168.60.2 > 192.168.1.241: ICMP echo request, id 1, seq 701, length 40
14:49:46.274560 IP 192.168.60.2 > 192.168.1.241: ICMP echo request, id 1, seq 702, length 40
14:49:51.274557 IP 192.168.60.2 > 192.168.1.241: ICMP echo request, id 1, seq 703, length 40
14:52:56.212559 IP 192.168.60.2.53784 > 192.168.1.241.53: 1+ PTR? 241.1.168.192.in-addr.arpa. (44)
14:52:58.213252 IP 192.168.60.2.53785 > 192.168.1.241.53: 2+ A? itbs01. (26)
14:53:00.212521 IP 192.168.60.2.53786 > 192.168.1.241.53: 3+ AAAA? itbs01. (26) -
Вообщем разобрался я… Все гениальное просто, как всегда.
В данный момент разбираюсь с наследством предыдущего администратора.
Не работало по той причине, что есть два шлюза, cisco и pfsense.
Так во по дефолту стоит шлюз cisco.. Надо было поменять шлюз на pfsense. -
Поздравляю!
А со шлюзом по умолчанию - это да, классика.
