Site to Site OpenVPN Briging + roadwarrior vpn routing.

LittleGreenMan

Доброго времени суток!

Имеется территориально разделенная на 2 сегмента сеть (192.168.100.0/24 ). В качестве шлюзов используется pfsense 2.1, в котором сделан мост поверх openvpn. Все работает: пинги идут, сетевое обнаружение работает…
(LAN1 192.168.100.0/24 ) <=
=> [ PF1 (Lan:192.168.100.254;) ] <=site-to-site ovpn (tap) => [PF2 (Lan:192.168.100.1)] <=
=> (LAN2 192.168.100.0/24)

Понадобилось организовать доступ к сети удаленных пользователей. Через мастера в pfsense создал openvpn соединение, но пользователь имеет доступ только к тому сегменту, к которому он подключился… В сети нарыл инструкцию по аналогичной проблеме в случае когда используется "обычный" openvpn (tun) (http://blog.stefcho.eu/?p=733).
Но т.к. у меня одна и та же сеть то не понятно как правильно прописать маршруты для того чтобы были доступны оба сегмента?
User1<==> PF2 <=> LAN2
User1<==> PF2 X LAN1
или же
User1<==> PF1 <=> LAN1
User1<==> PF1 X LAN2

С уважением.

P.S. написал сильно сумбурно, если нужны какие доп. сведения спрашивайте...

werter

[PF2 (Lan:192.168.[b]100.1)] <=
=> (LAN2 192.168.0/24)

Как это?! Не вижу сегментации.

Понадобилось организовать доступ к сети удаленных пользователей.

Какие адреса при этом вы выдаете клиентам? Какой тип подключения - tun \ tap ?

Вобщем рисуйте нормальную схему. Описано и правда более чем сумбурно.

P.s. Правильно заданный вопрос - 50% ответа.

LittleGreenMan

@werter:

[PF2 (Lan:192.168.[b]100.1)] <=
=> (LAN2 192.168.0/24)

Как это?! Не вижу сегментации.

действительно, моя ошибка должно быть (LAN2 192.168.100.0/24).

При подключении клиентов: протокол tun, сеть 192.168.200.0/24.
см. screenshot:
.
Настройки сервера:

в поле Advanced пусто…

вот изобразил схему в графике...

С уважением.

dr.gopher

@LittleGreenMan:

[ PF1 (Lan:192.168.[b]100.254;)
[PF2 (Lan:192.168.[b]100.1)]
(LAN2 192.168.100.0/24)

Имхо
Подсети должны быть разные.

werter

Солидарен с dr.gopher.
Или меняйте адресацию на другую подсеть на одном из концов туннеля или сегментируйте 100-ую сеть.

3.jpg_thumb

LittleGreenMan

Спасибо.

Правда до pfsense на машинах стоял zeroshell, так там при создании аналогичной конфигурации все работало и без разбиения… Надо было посмотреть конфигурацию :( .

С уважением.