OpenVPN server. Пример настройки.

StanislawK

Настраиваем OpenVPN клиента.

В головном офисе сервер, подключаемся из удаленного в режиме клиента. Его и настраиваем.
прописываем IP и порт сервера.
TLS Authentication копируем с VPN сервера.

Выбираем Peer Certificate Authority, Client Certificate,
Выбираем такой же как на сервере Encryption algorithm
Так же как и на сервере ставим галочку Compression.
Остальные настройки по умолчанию, не заполняем.
При установлении соединения клиент получит их с сервера.

0305.jpg_thumb

0306.jpg_thumb

0307.jpg_thumb

StanislawK

После нажатия кнопки save параметры применяются и сразу же устанавливается соединение.
OpenVPN клиент получает настройки от сервера. ip адрес тунеля и маршрут в сеть головного офиса.

Создаем разрешающее правило firewall
Проверяем что есть связь с сервером в головном офисе. Открываем страничку, пингуем.

0308.jpg_thumb

0309.jpg_thumb

0310.jpg_thumb

0311.jpg_thumb

0312.jpg_thumb

werter

Повторюсь еще раз.

Для доступа из сети за сервером в сеть за клиентом на сервере в fw на LAN необходимо создать явное разрешающее правило вида :

* LAN net * remote_net * * *

Поставить его самым первым (в зав-ти от условий, конечно). Можно и во Floating rules впихнуть вместо lan.

Это особенность 2.1.х и новее.

StanislawK

@werter:

Повторюсь еще раз.

Для доступа из сети за сервером в сеть за клиентом на сервере в fw

Я же делал скрины с firewall. Маленькие?

werter

Скрины правил fw на WAN, OpenVPN присутствуют.
Скрина правил fw на LAN - нет.

cartel

Как правильно настроить firewall и Client чтобы при подключении удалённый рабочий получил доступ к нужному vlan.

werter

@cartel:

Как правильно настроить firewall и Client чтобы при подключении удалённый рабочий получил доступ к нужному vlan.

Молча.
Телепаты в отпуске.

cartel

@werter:

@cartel:

Как правильно настроить firewall и Client чтобы при подключении удалённый рабочий получил доступ к нужному vlan.

Молча.
Телепаты в отпуске.

Ок. Мой косяк. Описываю ситуацию.
Настроил сервак и клиента по данной инструкции. Клиент при подключии получает ИП из Tunnelnetwork, там я указал 10.0.0.0/24
В Local ipv4 network указал нужный vlan 192.168.90.0/24, но клиент не может пингануть ни один сервак из vlan90. т.к. это тестовая сеть, то всем всё разрешено

werter

В Local ipv4 network указал нужный vlan 192.168.90.0/24, но клиент не может пингануть ни один сервак из vlan90. т.к. это тестовая сеть, то всем всё разрешено

1. Поставьте шлюзом на всех машинах во vlan90 адрес pf.
2. Скрин правил fw на OpenVPN
3. route print с клиента при поднятом туннеле.

cartel

@werter:

В Local ipv4 network указал нужный vlan 192.168.90.0/24, но клиент не может пингануть ни один сервак из vlan90. т.к. это тестовая сеть, то всем всё разрешено

1. Поставьте шлюзом на всех машинах во vlan90 адрес pf.
2. Скрин правил fw на OpenVPN
3. route print с клиента при поднятом туннеле.

сделал новый vlan…соединение без проблем пошло.