PfSense 2.3.4 + OpenVPN tap
-
Всем привет, прошу помощи. Сломал голову, форумы не помогли.
Суть проблемы - соединить несколько офисов в единую сеть (10.10.0.0/24) используя openvpn на сабже
Везде pfSense, везде последний девелоп 2.3.4- роутер 1 (сервер) - 10.10.0.1
настройки сервера openvpn:
server mode - remote access
device mode - tap
compression - enabled without adaptive
дальше везде все снято (в т.ч. bridge dhcp - везде адреса руками прописаны)
настройки интерфейсов:
создан интерфейс ovpns1, создан мост ovpns1+lan
настройки файрвола:
правило для wan - принимать входящие на порту 1194
правило для ovpns1 и openvpn - разрешить весь ipv4 - роутер 2 (клиент) - 10.10.0.2
настройки клиента openvpn:
server mode - peer-to-peer
device mode - tap
compression - enabled without adaptive
дальше все пусто
настройки интерфейсов:
создан интерфейс ovpnc1, создан мост ovpns1+lan
настройки файрвола:
правило для ovpns1 и openvpn - разрешить весь ipv4
openvpn стартует, без ошибок соединяется.
- с сервера пингом вижу клиента и больше ничего. со станции за сервером аналогично. при этом со станции за сервером вижу mac-адрес станции за клиентом (то есть, arp вроде бегает).
- с клиента пингом вижу сервер и станцию за ним. при этом со станции за клиентом никого не вижу, но arp-таблица показывает сервер и станцию за сервером.
пробовал в файрволле открывать на всех интерфейсах все - не помогает. непонятно, что блокирует трафик.
раньше был мост через виндовый openvpn - работало без проблем. тут уже по всякому пробовал, и маршруты прописывал (route, push "route"), и собирал мост "как в винде" (когда lan назначается на интерфейс моста, в котором сетевуха+опенвпн).
огромная просьба, у кого работает tap - поделитесь конфигом :) - роутер 1 (сервер) - 10.10.0.1
-
Доброе.
1.- роутер 1 (сервер) - 10.10.0.1
настройки сервера openvpn:
** server mode - remote access**
- роутер 2 (клиент) - 10.10.0.2
настройки клиента openvpn:
** server mode - peer-to-peer**
Ничего необычного не видите ?
2. Адресация во всех сетях? Диапазон, маска ? В студию.
3. Зачем Вам L2-сеть ? Чем обусловлен такой выбор ?
- роутер 1 (сервер) - 10.10.0.1
-
1. нет, тут нет ничего необычного - если режим сервера выбрать пир2пир, тогда пфсенс не даст поставить галочку "bridge dhcp" и не пропишет в конфиге нужный мне режим сервера.
проблема решилась, когда искал инфу по работе мостов. самое главное я не указал в описании проблемы - один из роутеров крутится на vmware, а там по умолчанию для сетевого адаптера стоит настройка "promiscuous mode disabled". включил и все закрутилось.
заодно сразу проверил - для файрвола включать правила для адаптера ovpns/ovpnc совершенно не нужно, достаточно только для openvpn.
может быть где-нибудь в факе забить, что для корректной работы любого моста в виртуальных машинах (проверил в vmware esxi и oracle virtualbox) надо не забывать в настройках сети вирт машины разрешить promiscuous mode.