OpenVPN PKI: Site-to-Site инструкция для обсуждения

skyter

Я звонил в техподдержку, они ответили, что ничего не блокируют, а когда я им написал на support, то все сразу же решилось.

skyter

Уважаемые эксперты!

Подскажите, пожалуйста, что нужно сделать, чтобы подключить второй филиал?
Соединение есть, второй клиент подключается, но ping не идет. Вероятно, что-то с маршрутами.
Пробовал экспериментировать с маршрутами, но ничего не вышло. Кто знает, что нужно сделать?

Заранее благодарен

pigbrother

@skyter:

Уважаемые эксперты!

Подскажите, пожалуйста, что нужно сделать, чтобы подключить второй филиал?
Соединение есть, второй клиент подключается, но ping не идет. Вероятно, что-то с маршрутами.
Пробовал экспериментировать с маршрутами, но ничего не вышло. Кто знает, что нужно сделать?

Заранее благодарен

По идее
достаточно добавить route a.b.с.d 255.255.255.0 в Advanced configuration или, что то же самое -  a.b.с.d/24 в IPv4 Local Network/s в настройках каждого сервера.
a.b.с.d 255.255.255.0  - сеть за "дружественным" OVPN-сервером.
и
iroute c.d.f.e 255.255.255 или или, что то же самое -  c.d.f.e/24 в IPv4 Remote Network/s для передачи серверу маршрута в сеть за клиентом, это, предпложу, у вас для работющей пары клиент-сервер уже настроено.
Для передачи клиенту маршрута в сеть за другим сервером - push "route …  или, что то же самое - добавляем сеть в IPv4 Local Network/s
Это делается в Client Specific Overrides

Руками никакие маршруты в System: Static Routes добавлять не следует, так же, как добавлять не следует явные OVPN-интерфейсы в меню Interfaces: Assign.

skyter

pigbrother, спасибо Вам огромное за помощь. Пожалуйста, помогите еще решить один вопрос.

На pfsense 1 (сервер openvpn) убрал из remote network адрес 192.168.5.0, а в advanced добавил два адреса:
route 192.168.5.0 255.255.255.0; route 192.168.10.0 255.255.255.0

Теперь из главного офиса вижу сеть 192.168.5.0 и 192.168.10.0 и они видят офисную сеть 192.168.1.0, но как сделать так, чтобы сети 192.168.5.0 и 192.168.10.0 видели друг друга?

В client specific overrides добавлял push route, но что-то не получилось, может не так что делаю?

pigbrother

1.На LAN интерфейсах pfSense есть ли правило(а)

IPv4 * LAN net * 192.168.х.0/24 * * none

192.168.х.0/24 - удаленные сети за другими pfSense

2.  pfSense - шлюз по умолчанию?
3. Брандмауэр Windows блокирует все пакеты из чужих сетей

skyter

1. Правило везде есть
2. если вы имеете ввиду в general setup use gateway, то везде установлено none
3. Брандмауэр отключен.

p.s. также пробовал пинговать с самого pfsense. Получается следующее: с pfsense 1 пингуется и pfsense 2 и pfsense 3. А вот с pfsense 2 пингуется только первый, также и с pfsense 3 пингуется только pfsense 1. Я думаю дело в маршруте

pigbrother

если вы имеете ввиду в general setup use gateway, то везде установлено none

Нет, я имел в виду pfSense - шлюз для всех компьютеров своей сети.

Не знаю причину у вас - у меня все сети за OVPN видят друг друга без дополнительных усилий,

route на всех серверах в дружественные сети
iroute и push route в client specific overrides

достаточно, клиенты - либо Микротик, либо одиночные пользователи на разных платформах.

skyter

pigbrother, если не трудно, можно подробнее объяснить. Возможно, я что-то делаю не так.
Сервер OVPN - сеть 192.168.1.0
Клиент 1 - сеть 192.168.5.0
Клиент 2 - сеть 192.168.10.0

Если не затруднит, можно поподробнее описать настройки сервера и client specific override. Я имею ввиду поля advanced и где route, iroute и push route

Заранее благодарен

pigbrother

@skyter:

pigbrother, если не трудно, можно подробнее объяснить. Возможно, я что-то делаю не так.
Сервер OVPN - сеть 192.168.1.0
Клиент 1 - сеть 192.168.5.0
Клиент 2 - сеть 192.168.10.0

Если не затруднит, можно поподробнее описать настройки сервера и client specific override. Я имею ввиду поля advanced и где route, iroute и push route

Заранее благодарен

Мы в ответе за тех, кого мы экзюпери (С)

Ситуация приблизилась к состоянию, когда легче сделать самому, чем найти, в чем ошибка.
Из любви к Open VPN.

Создание сертификатов, настройку туннелей опускаем. Предполагаем, что подсети офиса, филиалов,  туннелей не пересекаются. Будем использовать, в основном, поля advanced, хотя с 2.2.х стало возможным оперировать полями IPv4 Local Network/s и IPv4 Remote Network/s в настройках сервера и в  client specific override.

Сервер:

IPv4 Local Network/s - 192.168.1.0/24
Advanced - route 192.168.5.0 255.255.255.0;route 192.168.10.0 255.255.255.0;

Firewall:
LAN:
IPv4 * LAN net * 192.168.5.0/24 * * none
IPv4 * LAN net * 192.168.10.0/24 * * none

client specific overrides

Common name=client1:
iroute 192.168.5.0 255.255.255.0;push route "192.168.10.0 255.255.255.0";

Common name=client2:
iroute 192.168.10.0 255.255.255.0;push route "192.168.5.0 255.255.255.0";
–-----------------------------------------------------------------------------------------------

На pfSense филиалов правила на LAN, аналогичные приведенным для сервера.

На всех pfSense
Firewall: Rules:OpenVPN
IPv4 * * * * * * none

skyter

pigbrother, огромное тебе человеческое спасибо дружище.
Все заработало по твоей инструкции.)))  :)

pigbrother

Поделитесь, что было неправильно\не сделано?

skyter

@pigbrother:

Поделитесь, что было неправильно\не сделано?

Не правильно указывал маршрут. Нужно было быть внимательнее.

skyter

Уважаемый pigbrother!

Подскажите, пожалуйста, а чтобы еще и клиенты windows подключившись к офису могли видеть помимо офиса и два филиала, какие маршруты нужно прописать?
Я в client specific override прописывал push, но не помогло, а также еще и iroute прописывал, но тоже без толку. А iroute я так понимаю, что не надо прописывать, т.к. нет сети за клиентом.

Заранее благодарен

pigbrother

Да, для "одиночных" клиентов iroute вам не нужен.

Для начала - для  клиентов windows используется тот же экземпляр OVPN-сервера, что и для подключения филиалов?
В моем случае используется 2 экземпляра, один для site-to-site (филиалов), второй - для клиентских подключений.

Для роутинга "одиночных" клиентов в сети филиалов  достаточно в client specific override в поле IPv4 Local Network/s указать сети филиалов в виде
х.0.3.0/24,х.0.4.0/24

Того же результата можно добиться добавив через запятую х.0.3.0/24,х.0.4.0/24 в поле IPv4 Local Network/s настроек сервера, тогда эти маршруты будут добавляться всем клиентам без необходимости использовать client specific overrides

skyter

@pigbrother:

Да, для "одиночных" клиентов iroute вам не нужен.

Для начала - для  клиентов windows используется тот же экземпляр OVPN-сервера, что и для подключения филиалов?
В моем случае используется 2 экземпляра, один для site-to-site (филиалов), второй - для клиентских подключений.

Для роутинга "одиночных" клиентов в сети филиалов  достаточно в client specific override в поле IPv4 Local Network/s указать сети филиалов в виде
х.0.3.0/24,х.0.4.0/24

Того же результата можно добиться добавив через запятую х.0.3.0/24,х.0.4.0/24 в поле IPv4 Local Network/s настроек сервера, тогда эти маршруты будут добавляться всем клиентам без необходимости использовать client specific overrides

Экземпляр сервера тот же, что и для подключения филиалов.
А как лучше? Вы советуете сделать еще один экземпляр сервера?

Прописал в client specific override, но не помогло. В поле настроек сервера пока не прописывал, поэтому не знаю сработало бы или нет, но не и хотелось бы, т.к. не всем нужно видеть все сети.

pigbrother

Второй сервер (remote access) для клиентов хоть и не обязателен, но позволяет гибче управлять доступом\маршрутами.
Добавляемые маршруты push route должны быть видны либо в конфиге сервера(ов):

/var/etc/openvpn
serverN.conf

либо в
/var/etc/openvpn-csc
имена файлов равны common name клиентов.

Клиента OVPN GUI запускаете с правами администратора? Что говорит лог клиента о получении маршрута? Добавьте verb в конфиг клиента.

dmitry042

утро доброе
Настроил канал согласно инструкции, сам канал поднимается, но подсети друг друга не видят, пр попытке трассировки всё валиться на первом шаге, то есть первая точка адрес tunnel network, далее пусто.
Фаерволы на обоих системах отключал, результат тот же. Не подскажете куда рыть?

upd. Сам шлюз сервера видеться, пингуется, но компьютеры за этим шлюзом не видны,то есть проблема маршрутов, но куда ещё их прописать это вопрос.

pigbrother

Про правила на LAN не забыли?

https://forum.pfsense.org/index.php?topic=59081.msg606332#msg606332

dmitry042

Нет, всё прописал.
получается сервер 4.31 за ним клиенты
клиент 51.1 за ним клиенты
с стороны сервера клиенты 51.1-255 видны
с стороны клиента из подсети 51.1 виден только сетевой интерфейс 4.31
правила на обеих сторонах под опенвпн
States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions
0/58 KiB
IPv4 * * * * * * none
уже на стороне сервера написал принимать все соединения из подсети шлюзов 10.0.8.0/24
и принимать все что приходит с сетевого интерфейса на подсеть 4.0/22 это подсеть сервера
видимо где то затык в маршрутизации, подскажите где глянуть

pigbrother

В принципе по приведенной ссылке инструкция, по которой все реально должно работать.

видимо где то затык в маршрутизации, подскажите где глянуть

Diagnostics/Routes