Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Настройка openvpn

    Scheduled Pinned Locked Moved Russian
    26 Posts 4 Posters 7.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      timon12
      last edited by

      2 Amigo83
      А вы гуглу вопрос перефразируйте, может он вас не понял))))
      https://community.openvpn.net/openvpn/wiki/Topology

      1 Reply Last reply Reply Quote 0
      • A
        Amigo83
        last edited by

        @pigbrother:

        Если вы не собираетесь подключать Windows клиентов к OpenVPN серверу на pfSense, то можно использовать новую топологию subnet. В ней, если в настройках сервера в Tunnel Network стоит 10.0.8.0/24, то сервер получает адрес 10.0.8.1, а клиенты последовательно адреса 10.0.8.2, 10.0.8.3, …, 10.0.8.254. Одним словом, subnet

        Как раз таки windows клиентов я и собираюсь подключать. А чем плоха subnet? Я не провайдер, мне не нужна изоляция сетей.

        В такой конфигурации таблица маршрутизации правильная, пингуется и шлюз, 192.168.50.1 и lan интерфейс pfsense 192.168.1.150, вот только трафик не идёт на другие адреса 192.168.1.0/24

        1 Reply Last reply Reply Quote 0
        • T
          timon12
          last edited by

          @timon12:

          Настройки в студию!

          1 Reply Last reply Reply Quote 0
          • A
            Amigo83
            last edited by

            dev ovpns1
            verb 1
            dev-type tun
            tun-ipv6
            dev-node /dev/tun1
            writepid /var/run/openvpn_server1.pid
            #user nobody
            #group nobody
            script-security 3
            daemon
            keepalive 10 60
            ping-timer-rem
            persist-tun
            persist-key
            proto udp
            cipher AES-256-CBC
            auth SHA1
            up /usr/local/sbin/ovpn-linkup
            down /usr/local/sbin/ovpn-linkdown
            client-connect /usr/local/sbin/openvpn.attributes.sh
            client-disconnect /usr/local/sbin/openvpn.attributes.sh
            local 217.67..
            tls-server
            server 192.168.50.0 255.255.255.0
            client-config-dir /var/etc/openvpn-csc
            username-as-common-name
            auth-user-pass-verify "/usr/local/sbin/ovpn_auth_verify user 'Local Database' false server1" via-env
            tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'VPN+Server+Cert' 1 "
            lport 1194
            management /var/etc/openvpn/server1.sock unix
            max-clients 20
            push "route 192.168.1.0 255.255.255.0"
            push "dhcp-option DOMAIN it.local"
            push "dhcp-option DNS 192.168.1.241"
            client-to-client
            ca /var/etc/openvpn/server1.ca
            cert /var/etc/openvpn/server1.cert
            key /var/etc/openvpn/server1.key
            dh /etc/dh-parameters.1024
            tls-auth /var/etc/openvpn/server1.tls-auth 0
            comp-lzo adaptive
            passtos
            persist-remote-ip
            float
            topology subnet
            push “route 192.168.1.0 255.255.255.0”

            В фаерволе скорее всего проблема..

            1 Reply Last reply Reply Quote 0
            • werterW
              werter
              last edited by

              Зачем два push "route 192.168.1.0 255.255.255.0" ?

              1 Reply Last reply Reply Quote 0
              • A
                Amigo83
                last edited by

                Для тестов  8) Это я уберу

                На фаеволе, в разделе openvpn трафик разрешен any to any, не пойму почему не ходит между 192.168.50.0/24 и 192.168.1.0/24

                А где можно посмотреть лог фаервола?

                1 Reply Last reply Reply Quote 0
                • T
                  timon12
                  last edited by

                  Status-> System logs->Firewall

                  1 Reply Last reply Reply Quote 0
                  • A
                    Amigo83
                    last edited by

                    Если смотреть на LAN интерфейсе tcpdump, то я вижу запросы, но нет ответов((

                    192.168.60.2 - IP клиента openvpn

                    [2.2.6-RELEASE][admin@pfSense.localdomain]/var/log: tcpdump -i igb0 -n host 192.168.60.2
                    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
                    listening on igb0, link-type EN10MB (Ethernet), capture size 65535 bytes
                    capability mode sandbox enabled
                    14:49:36.521499 IP 192.168.60.2 > 192.168.1.241: ICMP echo request, id 1, seq 700, length 40
                    14:49:41.473601 IP 192.168.60.2 > 192.168.1.241: ICMP echo request, id 1, seq 701, length 40
                    14:49:46.274560 IP 192.168.60.2 > 192.168.1.241: ICMP echo request, id 1, seq 702, length 40
                    14:49:51.274557 IP 192.168.60.2 > 192.168.1.241: ICMP echo request, id 1, seq 703, length 40
                    14:52:56.212559 IP 192.168.60.2.53784 > 192.168.1.241.53: 1+ PTR? 241.1.168.192.in-addr.arpa. (44)
                    14:52:58.213252 IP 192.168.60.2.53785 > 192.168.1.241.53: 2+ A? itbs01. (26)
                    14:53:00.212521 IP 192.168.60.2.53786 > 192.168.1.241.53: 3+ AAAA? itbs01. (26)

                    1 Reply Last reply Reply Quote 0
                    • A
                      Amigo83
                      last edited by

                      Вообщем разобрался я… Все гениальное просто, как всегда.
                      В данный момент разбираюсь с наследством предыдущего администратора.
                      Не работало по той причине, что есть два шлюза, cisco и pfsense.
                      Так во по дефолту стоит шлюз cisco.. Надо было поменять шлюз на pfsense.

                      1 Reply Last reply Reply Quote 0
                      • P
                        pigbrother
                        last edited by

                        Поздравляю!

                        А со шлюзом по умолчанию - это да, классика.

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.