OpenVPN PKI: Site-to-Site инструкция для обсуждения
-
Перечитал 5 раз пост.
1. Если у Вас не видит x.x.4.10 x.x.4.31 то значит у 4.10 стоит фаервол, который блокирует все, включая ICMP. Либо в настройках DHCP стоит галочка блокировать всех кроме статически заданных в таблице ниже.
2. А кто Вам сказал что шлюзом должен быть 4.31? шлюзом должен быть начальный адрес вашего тунеля IPV4 Tunnel Network (не путать с IP Server adress) для клиента. То есть при одном клиенте и сервере как правило используется x.x.x.0/30 подсеть (больший диапазон бесполезен), следовательно первый ип будет назначен серверной машине туннеля. Его и надо ставить в шлюз в роутинг параметрах для клиента. Соответственно во вкладке фаервола для OpenVPN должны быть разрешены все пакеты.
В параметрах нужно указать удаленные локальные сети. Либо в Advanced пишем руками route сеть маска сети.
3. Если Вы пытаетесь пинговать клиентов у которых не стоит в качестве шлюза 4.31 с компа у которого стоит в качестве шлюза 4.31,
Намек №1: тогда, может, стоит пинговать компьютеры у которых нет шлюзов с компьютеров у которых тоже нет шлюза?
@dmitry042:при условии что статические маршруты на pf прописаны и работают в все подсети.
Намек №2: А в компьютерах прописаны обратные статические маршруты во все сети? Или PF отправив пакет по маршруту должен от компа по его наитию получить ответ?
Намек №3: А может ну его этот шлюз, да пофигашить на всех компах, а маршурты все руками везде прописать…
@dmitry042:Не соглашусь с вами, при прописывани маршрутов они отлично видятся, тут как раз вопрос к pf, а не к идеалогии vpn в целом.
Прежде чем не соглашаться с опытными людьми, в начале, может, базовые правила маршрутизации почитать, на кои Вам скромно указали выше.
-
1. Внутри подсети х.х.4.0/24 всё клиенты видят 4.31. Тут всё ок
2. Из подсети х.х.4.0/24 все пакеты бегают отлично. Тут тоже всё ок
3.нет такой необходимости нет, согласно пункту 1. все компы в подсети х.х.4.0/24 видят друг друга вне зависимости от шлюза.Ёще раз, из подсети 10.194.51.0/22 видны машины подсети х.х.4.0/24 только на которых указан шлюз 4.31. В этом проблема, то есть машины на которых указан другой шлюз, но находящиеся в этой подсети х.х.4.0/24 из клиентской 10.194.51.0/22 не видны.
-
2 dmitry042
Доброе.
Только указание шлюзом пф поможет. -
Все правильно, откуда тот "другой" шлюз знает куда пакеты отправлять. Он к вашему каналу отношения то не имеет…
Есть какой то скрытый смысл в другом шлюзе? Может все через один шлюз завязать? -
Друзья, но ведь шлюз находится в одной подсети, и пк он видит.
Другой шлюз знает что надо отправлять пакеты до сервера pf который в подсети 4.0/24. Я просто логику не могу уловить.
и совершенно не понимаю что делать дальше в этой ситуации. -
пк он видит
И отправляет пакеты им.
А ПК отправляют свои ответы:1. Все, что не в локальную сеть - в шлюз по умолчанию.
2. Если им указан конкретный маршрут в другую сеть - в шлюз для этой сети. -
Читать теорию и статьи по маршрутизации и топологии сетей и как происходит прохождение пакета по сети. А тут задавать вопросы как это реализовать силами PF.
-
пк он видит
И отправляет пакеты им.
А ПК отправляют свои ответы:1. Все, что не в локальную сеть - в шлюз по умолчанию.
2. Если им указан конкретный маршрут в другую сеть - в шлюз для этой сети.2 страницы обсуждения, и ваш ответ мне помог, понял где затык, заранее спасибо!
Сейчас посижу подумаю как грамотнее описать маршруты, просто сеть сильно фрагменитрована, надо посидеть посмотреть предыдущие маршруты и какие то из них переписать.
В любом случае спасибо за ответ. -
2 dmitry042
Доброе.
Все же лучше свести все на один шлюз. Этим вы сильно облегчите себе жизнь. -
2 dmitry042
Доброе.
Все же лучше свести все на один шлюз. Этим вы сильно облегчите себе жизнь.А я и свёл, просто когда маршрут забивал одну лишнюю цифру в консоль уронил, утро всё же, вчера полез смотреть обратные маршруты, и точно.
Навело на мысль посмотреть фраза
А ПК отправляют свои ответы:
Ещё раз прошу прощения за долгий флуд, бывает такое взгляд замылился чтоли.
Спасибо огромное всем за помощь! -
Отличная, наверное, инструкция, но, только вот, скрины не открываются. А жаль…
-
Отличная, наверное, инструкция, но, только вот, скрины не открываются. А жаль…
Ув. @rubic переопубликовал скриншоты для инструкции для PSK.
Давайте попросим его, если скриншоты сохранились, сделать то же для PKI. В архивах\кэше сохраненной копии не нашел. -
Да, скрины бы очень не помешали. ::)
В ближайшее время несколько серверов предстоит поднимать.
Боюсь, что по памяти пропущу где-нибудь галочку-другую и потом буду удивляться почему не работает. -
приложил скриншоты
-
Здравствуйте. Есть PFsense (192.168.1.1 сеть 192.168.1.0/24) к нему по ovpn подключены два Mikrotika 192.168.2.1 192.168.2.0/24 и 192.168.3.1 192.168.3.0/24. Они пингуются оба из сети 192.168.1.1, но друг друга пропинговать не могут. Пытался добавлять iroute, нет результата. Подскажите возможно ли настроить маршрутизацию между ними если mikrotik-и подключены к разным opvn серверам.
-
1. В Client Specific Overrides для каждого клиента Микротика добавьте(измените) директиву в Advanced.
Через IPv4 Local Network/s это сделать невозможно.
push route "192.168.х.0 255.255.255.0 xx.xx.xx.1"где
192.168.х.0 255.255 - сеть за другим Микротиком
xx.xx.xx.1 - IP "серверного конца" OpenVPN-туннеляЛибо добавьте такой маршрут на каждом Микротике вручную.
2. На **OpenVPN-серверах может понадобиться **
добавить маршруты в сети за другими Микротиками, либо в IPv4 Local network(s) в виде 192.168.х.0/24 через запятую, либо route 192.168.х.0 255.255.255 в Advanced Configuration.У меня Микротики подключены к одному серверу, поэтому в необходимости п.2 не уверен.
-
Не подскажите как у вас настроено на одном сервере два микротика. У меня при этом пингуется только один из сети за pfsense-ом. Тот чья сеть указана в IPv4 Remote network(s) на сервере.
-
Не подскажите как у вас настроено на одном сервере два микротика. У меня при этом пингуется только один (пингуется из сети за pfsense-ом) . Тот чья сеть указана в IPv4 Remote network(s) на сервере.
Так сервер на то и сервер, чтоб обслуживать множество клиентов, не создавать же сервер для каждого.
То, что за клиентом - сеть, значения не имеет.Сервер
В IPv4 Remote network(s) - обе сети за Микротиками через запятую - a.a.a.a/24, b.b.b.b/24 (хотя я исторически использую вместо Pv4 Remote network(s) директиву route в advanced).Сlient Specific Overrides
Обязательно для каждого клиента Микротика в IPv4 Remote Network/s - сеть за этим Микротиком в виде a.a.a.a/24, а в Advanced
push route "b.b.b.b 255.255.255.0 x.x.x.1"
где
b.b.b.b 255.255.255.0 - сеть за другим Микротиком
x.x.x.1 - IP "серверного конца" OVPN туннеля. Это - ключевой момент, без него маршрут в сеть за другим Микротиком не будет воспринят.В IPv4 Local Network/s сети b.b.b.b быть не должно.
Для второго Микротика - по аналогии
