OpenVPN PKI: Site-to-Site инструкция для обсуждения

pigbrother

Да, для "одиночных" клиентов iroute вам не нужен.

Для начала - для  клиентов windows используется тот же экземпляр OVPN-сервера, что и для подключения филиалов?
В моем случае используется 2 экземпляра, один для site-to-site (филиалов), второй - для клиентских подключений.

Для роутинга "одиночных" клиентов в сети филиалов  достаточно в client specific override в поле IPv4 Local Network/s указать сети филиалов в виде
х.0.3.0/24,х.0.4.0/24

Того же результата можно добиться добавив через запятую х.0.3.0/24,х.0.4.0/24 в поле IPv4 Local Network/s настроек сервера, тогда эти маршруты будут добавляться всем клиентам без необходимости использовать client specific overrides

skyter

@pigbrother:

Да, для "одиночных" клиентов iroute вам не нужен.

Для начала - для  клиентов windows используется тот же экземпляр OVPN-сервера, что и для подключения филиалов?
В моем случае используется 2 экземпляра, один для site-to-site (филиалов), второй - для клиентских подключений.

Для роутинга "одиночных" клиентов в сети филиалов  достаточно в client specific override в поле IPv4 Local Network/s указать сети филиалов в виде
х.0.3.0/24,х.0.4.0/24

Того же результата можно добиться добавив через запятую х.0.3.0/24,х.0.4.0/24 в поле IPv4 Local Network/s настроек сервера, тогда эти маршруты будут добавляться всем клиентам без необходимости использовать client specific overrides

Экземпляр сервера тот же, что и для подключения филиалов.
А как лучше? Вы советуете сделать еще один экземпляр сервера?

Прописал в client specific override, но не помогло. В поле настроек сервера пока не прописывал, поэтому не знаю сработало бы или нет, но не и хотелось бы, т.к. не всем нужно видеть все сети.

pigbrother

Второй сервер (remote access) для клиентов хоть и не обязателен, но позволяет гибче управлять доступом\маршрутами.
Добавляемые маршруты push route должны быть видны либо в конфиге сервера(ов):

/var/etc/openvpn
serverN.conf

либо в
/var/etc/openvpn-csc
имена файлов равны common name клиентов.

Клиента OVPN GUI запускаете с правами администратора? Что говорит лог клиента о получении маршрута? Добавьте verb в конфиг клиента.

dmitry042

утро доброе
Настроил канал согласно инструкции, сам канал поднимается, но подсети друг друга не видят, пр попытке трассировки всё валиться на первом шаге, то есть первая точка адрес tunnel network, далее пусто.
Фаерволы на обоих системах отключал, результат тот же. Не подскажете куда рыть?

upd. Сам шлюз сервера видеться, пингуется, но компьютеры за этим шлюзом не видны,то есть проблема маршрутов, но куда ещё их прописать это вопрос.

pigbrother

Про правила на LAN не забыли?

https://forum.pfsense.org/index.php?topic=59081.msg606332#msg606332

dmitry042

Нет, всё прописал.
получается сервер 4.31 за ним клиенты
клиент 51.1 за ним клиенты
с стороны сервера клиенты 51.1-255 видны
с стороны клиента из подсети 51.1 виден только сетевой интерфейс 4.31
правила на обеих сторонах под опенвпн
States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions
0/58 KiB
IPv4 * * * * * * none
уже на стороне сервера написал принимать все соединения из подсети шлюзов 10.0.8.0/24
и принимать все что приходит с сетевого интерфейса на подсеть 4.0/22 это подсеть сервера
видимо где то затык в маршрутизации, подскажите где глянуть

pigbrother

В принципе по приведенной ссылке инструкция, по которой все реально должно работать.

видимо где то затык в маршрутизации, подскажите где глянуть

Diagnostics/Routes

werter

Доброе.
1. Шлюзами на обоих концах должны быть пф. Проверить.
2. Откл. временно антивирусы, fw на обоих концах . В том числе и встроен. в Вин.
3. Исп. волшебн. команду traceroute с обоих конфцов для поиска затыка.

dmitry042

@werter:

Доброе.
1. Шлюзами на обоих концах должны быть пф. Проверить.
2. Откл. временно антивирусы, fw на обоих концах . В том числе и встроен. в Вин.
3. Исп. волшебн. команду traceroute с обоих конфцов для поиска затыка.

1. и да и нет, основную маршрутизацию выполняет другая железка, но мне кажется это не отменяет что pf должен выпускать в lan
2. уже делал не помогло
3. traceroute сделал сразу же, если роутить внутренний ресурс на серверной части сети то останавливается на виртуально ip адресе тунельного шлюза. Если посмотреть маршрут до 4,31 который и является серверной частью, то он вообще маршрут заканчивает на первом шлюзе, при этом сам 4,31 пингуется.

@pigbrother:

В принципе по приведенной ссылке инструкция, по которой все реально должно работать.
Diagnostics/Routes

10.0.8.0/24 10.0.8.1 UGS 0 1500 ovpns1
10.194.51.0/24 10.0.8.2 UGS 27 1500 ovpns1
10.0.8.2 link#7 UH 0 1500 ovpns1
все три маршрута верны в общем то
Первый это тунельный дипазон
второй подсеть клиента
третий сами понимаете.

werter

Скрины :
1. Certificates (сервер)
2. Правил fw на LAN.
3. Настройка vpn на сервере\клиенте.
3.1. Настройка Client specific overrides на vpn-сервере
4. Настройка NAT сервер\клиент.

основную маршрутизацию выполняет другая железка

Зайдите на эту железку. Видна ли проблемная сеть с нее ?

dmitry042

@werter:

Скрины :
1. Certificates (сервер)
2. Правил fw на LAN.
3. Настройка vpn на сервере\клиенте.
3.1. Настройка Client specific overrides на vpn-сервере
4. Настройка NAT сервер\клиент.

основную маршрутизацию выполняет другая железка

Зайдите на эту железку. Видна ли проблемная сеть с нее ?

Проблема в том, что с стороны сервера я клиента и его подсеть вижу, а вот обратно не работает.
То есть с стороны клиента виден только интерфейс lan pf сервера.

По изборажениям сейчас выложу, но мне кажется оно не поможет.

NAT везде включён на Automatic outbound NAT rule generation.
(IPsec passthrough included)

На клиенте только адресь шлюза прописан и тунельная подсеть. Насколько я понял он должен по сертификату всё взять с сервера.

werter

Скрин правил fw на клиенте не увидел. Или проглядел ?

У вас несколько LAN на сервере ? Или это в правилах fw на LAN сервера "каша" ?

Схему с адресацией , если можно, приложите.

Золотое правило:
В правилах fw на интерфейсах в src указываются только те сети, к-ые живут на этих интерфейсах.
Ни WAN, ни ВПН-сети в src на LAN в fw там не указываются (и наоборот).

То есть с стороны клиента виден только интерфейс lan pf сервера.

Может все же виден ip впн-интерфейса пф, а не LAN ?

dmitry042

@werter:

Скрин правил fw на клиенте не увидел. Или проглядел ?

У вас несколько LAN на сервере ? Или это в правилах fw на LAN сервера "каша" ?

Схему с адресацией , если можно, приложите.

Золотое правило:
В правилах fw на интерфейсах в src указываются только те сети, к-ые живут на этих интерфейсах.
Ни WAN, ни ВПН-сети в src на LAN в fw там не указываются (и наоборот).

То есть с стороны клиента виден только интерфейс lan pf сервера.

Может все же виден ip впн-интерфейса пф, а не LAN ?

Нет на клиенте одно созданное всего, остальное по дефалту
там из LAN до подсети локально разрешить и всё.

IPv4 * * * 10.194.51.0.24 * * none  
Каша потому что очень много подсетей смашрутизировано до этого шлюза, тут прокся поднята, они все через неё ходят, а если запрос прилетает из неизвестной сети, его фаер лочит.
Видется именно локальный адрес интерфейса который смотрит в lan, не виртуальные адреса тунеля а именно 4,31 который физический, он пингуется и так далее, все остальные клиенты в сети не видны.

скрины с клиенты


werter

Доброе
Покажите таблицу маршрутизации на клиенте при поднятом туннеле.

И еще. Посмотрите на проблемной Вин-машине за клиентом, нет ли на ней руками заданных постоянных маршрутов.

На скрине в правилах fw server на LAN откл. (временно) выделенные желтым нижние правила - они не работают.
Самым верхним должно быть правило src - lan net , dst - сеть за клиентом. После него должно быть правило src - lan net, dst - * (any) по ip v4\v6

На скрине в правилах fw client на LAN откл. (временно) выделенные желтым нижнее правило.
Самым верхним должно быть правило src - lan net , dst - сеть за сервером. После него должно быть правило src - lan net, dst - * (any) по ip v4\v6

dmitry042

На самом деле я думаю что не туда смотрим, ибо фаеры я все отрубал, картина не меняется
но сделал как вы сказали, скрин роутинга прикладываю, проблем там тоже не вижу, вроде как всё правильно


werter

. и да и нет, основную маршрутизацию выполняет другая железка, но мне кажется это не отменяет что pf должен выпускать в lan

Что это за железка ? У нее шлюзом на ЛАН что указано ? Проверьте это

P.s. Сделайте проще. Поставьте шлюзом на ЛАН у одной из проблемных машин адрес пф. И проверяйте доступность.

dmitry042

@werter:

. и да и нет, основную маршрутизацию выполняет другая железка, но мне кажется это не отменяет что pf должен выпускать в lan

Что это за железка ? У нее шлюзом на ЛАН что указано ? Проверьте это

P.s. Сделайте проще. Поставьте шлюзом на ЛАН у одной из проблемных машин адрес пф. И проверяйте доступность.

мда, как только указал шлюзом pf сразу пинги пошли, следовательно вопрос, как видеть машины в lan у которых pf не указан в качестве основного шлюза, но с которым они находятся в одной подсети
Как перенаправить запрос с сервера pf на другой шлюз? роутинг на pf настроен и когда на него приходит запрос на другую подсеть он сам перенаправляет, но когда запрос на другую подсеть идёт из клиента openvpn pf, сервер его никуда не перекидывает.

pigbrother

Как вариант можно:
1. Добавить маршрут в удаленную сеть на каждой машине (в Windows- через route add) указав шлюзом LAN IP pfSense
2. Раздавать маршрут через DHCP:
https://forum.pfsense.org/index.php?topic=46210.0
https://social.technet.microsoft.com/Forums/ru-RU/e526fe6e-1bf4-42b9-a6e0-38f103e49a56/dhcp-2008r2-?forum=ws2008r2ru
Настройка может оказаться нетривиальной.

dmitry042

@pigbrother:

Как вариант можно:
1. Добавить маршрут в удаленную сеть на каждой машине (в Windows- через route add) указав шлюзом LAN IP pfSense
2. Раздавать маршрут через DHCP:
https://forum.pfsense.org/index.php?topic=46210.0
https://social.technet.microsoft.com/Forums/ru-RU/e526fe6e-1bf4-42b9-a6e0-38f103e49a56/dhcp-2008r2-?forum=ws2008r2ru
Настройка может оказаться нетривиальной.

ненене, подождите, зачем так грубо то.
у меня 4 кисковых шлюза под разные нужды, выход и как основной смаршрутизирован только один, тем не менее все клиенты что приходят в локалку с остальных шлюзов, все машины в локалке видят, отсюда вытекает вопрос:
Это принципиальная особенность pf чтобы видеть клиентов за шлюзом, они должны быть смаршрутизированы через этот шлюз? Или это я что то не докрутил?

pigbrother

Это принципиальная особенность pf чтобы видеть клиентов за шлюзом, они должны быть смаршрутизированы через этот шлюз? Или это я что то не докрутил?

Это не свойство pfSense, т.к он за маршрутизацию в вашем случае вообще не отвечает.

выход и как основной смаршрутизирован только один

Вот он и должен разбираться с маршрутом в удаленную сеть.

В нем нельзя добавить статический маршрут в удаленную сеть с указанием шлюзом PfSense?