PfSense 2.3.4 + OpenVPN tap

oldscratch

Всем привет, прошу помощи. Сломал голову, форумы не помогли.
Суть проблемы - соединить несколько офисов в единую сеть (10.10.0.0/24) используя openvpn на сабже
Везде pfSense, везде последний девелоп 2.3.4

1. роутер 1 (сервер) - 10.10.0.1
     настройки сервера openvpn:
       server mode - remote access
       device mode - tap
       compression - enabled without adaptive
       дальше везде все снято (в т.ч. bridge dhcp - везде адреса руками прописаны)
     настройки интерфейсов:
       создан интерфейс ovpns1, создан мост ovpns1+lan
     настройки файрвола:
       правило для wan - принимать входящие на порту 1194
       правило для ovpns1 и openvpn - разрешить весь ipv4
2. роутер 2 (клиент) - 10.10.0.2
     настройки клиента openvpn:
       server mode - peer-to-peer
       device mode - tap
       compression - enabled without adaptive
       дальше все пусто
     настройки интерфейсов:
       создан интерфейс ovpnc1, создан мост ovpns1+lan
     настройки файрвола:
       правило для ovpns1 и openvpn - разрешить весь ipv4

openvpn стартует, без ошибок соединяется.

1. с сервера пингом вижу клиента и больше ничего. со станции за сервером аналогично. при этом со станции за сервером вижу mac-адрес станции за клиентом (то есть, arp вроде бегает).
2. с клиента пингом вижу сервер и станцию за ним. при этом со станции за клиентом никого не вижу, но arp-таблица показывает сервер и станцию за сервером.

пробовал в файрволле открывать на всех интерфейсах все - не помогает. непонятно, что блокирует трафик.
раньше был мост через виндовый openvpn - работало без проблем. тут уже по всякому пробовал, и маршруты прописывал (route, push "route"), и собирал мост "как в винде" (когда lan назначается на интерфейс моста, в котором сетевуха+опенвпн).
огромная просьба, у кого работает tap - поделитесь конфигом :)

werter

Доброе.
1.

1. роутер 1 (сервер) - 10.10.0.1
     настройки сервера openvpn:
   **    server mode - remote access**

2. роутер 2 (клиент) - 10.10.0.2
     настройки клиента openvpn:
   **    server mode - peer-to-peer**

Ничего необычного не видите ?

2. Адресация во всех сетях? Диапазон, маска ? В студию.

3. Зачем Вам L2-сеть ? Чем обусловлен такой выбор ?

oldscratch

1. нет, тут нет ничего необычного - если режим сервера выбрать пир2пир, тогда пфсенс не даст поставить галочку "bridge dhcp" и не пропишет в конфиге нужный мне режим сервера.

проблема решилась, когда искал инфу по работе мостов. самое главное я не указал в описании проблемы - один из роутеров крутится на vmware, а там по умолчанию для сетевого адаптера стоит настройка "promiscuous mode disabled". включил и все закрутилось.

заодно сразу проверил - для файрвола включать правила для адаптера ovpns/ovpnc совершенно не нужно, достаточно только для openvpn.

может быть где-нибудь в факе забить, что для корректной работы любого моста в виртуальных машинах (проверил в vmware esxi и oracle virtualbox) надо не забывать в настройках сети вирт машины разрешить promiscuous mode.