OpenVPN PSK: Site-to-Site инструкция для обсуждения

Angel_19

IPSec туннели по тем же маршрутам нужно именно выключить, а не переводить их в состояние когда они не могут подключиться! (Я делал именно так.)
Все работает.  8)

Если у меня в центр. офисе там где сервер OpenVPN используются два провайдера интернета, то я могу на клиенте добавить второй IP для подключения так:

remote 4.3.2.1 1194

в секции Advanced?

werter

Поищите статьи по OpenVPN на ixbt. Там на русском.

A Former User

Здравствуйте.
Сегодня решил обновить фаервол на филиале.
никак не получается настроить чтобы pfsense на филиале смог пробиться в интернет за обновлениями.
Все правила создавал как в инструкции. За одним исключением. У меня в головном офисе VLANы сделаны. То есть по одному оптоволокну идет и VPN и INternet. Соответственно с тегами сделаны виртуальные интерфейсы. Я уже пробовал и на VPN занатить в головном офисе и на Internet. Ничего не получается.

И второй вопрос:
Назрел вариант установки домен контроллера для всех подсетей. А так как у меня сейчас настройки типа TUN, то надо будет создавать разные леса, а этого не хотелось бы. Как можно поменять интерфейс с TUN на TAP, чтобы все было в одной подсети, и какие подводные камни. Я пересмотрел кучу мануалов, но так и не понял как это должно работать. Понял только, что надо будет добавлять Brige режим.

Catwoolfii

Доброго времени суток. Я настроил по инструкции из 1-го поста, но у меня локальные подсети маршрутизаторов были недоступны друг для друга. Проблема заключалась в том, что "Remote network" надо указывать не свою локальную подсеть, а удаленную! Грубо говоря, на сервере надо ввести 192.168.10.0/24 в качестве "Remote network", а на клиенте соответсвенно 192.168.20.0/24. Исправьте инструкцию, пожалуйста.

P.S. Еще раз посмотрел первый пост, разобрался.

werter

Доброе
В инс-ции на 1-й странице все верно указано. Проверяйте у себя.

Igor Filth

Ссылки на скриншоты в инструкции умерли  :-\

pigbrother

@Igor:

Ссылки на скриншоты в инструкции умерли  :-\

Недавно тоже обращался к этому каноническому посту - картинок нет. Пришлось вспоминать.

rubic

приаттачил к первому посту

trooto

А можно еще картинки "как инет пустить туда"

pigbrother

Выпускать компьютеры удаленного офиса через интернет основного?
Хотите - пробуйте.
Стандартные шаги - объявление Open VPN интерфейсом, редактирование Outbound NAT, использование директивы redirect-gateway def1
Предположу, что для режима  PSK: Site-to-Site это проблематично\невозможно.

werter

Доброе.
@pigbrother:

объявление Open VPN интерфейсом

Зачем явно создавать впн-интерфейс? Достаточно redirect-gateway def1 (галку поставить)

pigbrother

Зачем явно создавать впн-интерфейс? Достаточно redirect-gateway def1 (галку поставить)
Исходя из опыта использования коммерческого OpenVPN предположу, что тогда не заработает Outbound NAT через OpenVPN  . Не будет NAT -  не будет интернета через OpenVPN.

werter

Доброе.
Попробуйте. Без интерфейса.

ufojun

Спасибо за мануал. Подскажите , чтобы клиенты двух сетей использовали имена dns сервера головного офиса. Т.е. всего 1 сервер. А то  у меня клиенты пингуються только по ip

Спасибо.

PbIXTOP

@ufojun:

Спасибо за мануал. Подскажите , чтобы клиенты двух сетей использовали имена dns сервера головного офиса. Т.е. всего 1 сервер. А то  у меня клиенты пингуються только по ip

Спасибо.

В настройках DNS Forwader —  опция domain overwrite

ufojun

@PbIXTOP:

@ufojun:

Спасибо за мануал. Подскажите , чтобы клиенты двух сетей использовали имена dns сервера головного офиса. Т.е. всего 1 сервер. А то  у меня клиенты пингуються только по ip

Спасибо.

В настройках DNS Forwader —  опция domain overwrite

Это надо делать на стороне сервера и клиента ? 
на стороне сервера пишет:
The following input errors were detected:
An interface IP address must be specified for the DNS query source.

делал по этому мануалу - http://www.arnan.me/2020/pfsense-openvpn-site-site-dns-resolving/

werter

Доброе.
Клиенты в своих сетях настройки по dhcp получают ?

ufojun

@werter:

Доброе.
Клиенты в своих сетях настройки по dhcp получают ?

Привет. Да за  сервером - windows dhcp, а в сети за клиентом - силами самого pfsense. ( поднял на нем )

В сети за клиентом 20 машин.
Ещё сам не определился как лучше сделать или tap или tun. Пока работает на tun уровне.
Подскажите как лучше. Хотел бы все в единой ифраструктуре . сорри за нубство. Впервые два офиса подключаются и по ходу посыпались вопросы

werter

Выдавайте ip необходимого вам dns сервера головного офиса клиентам по DHCP.

ufojun

@werter:

Выдавайте ip необходимого вам dns сервера головного офиса клиентам по DHCP.

Это тоже ? - В настройках DNS Forwader —  опция domain overwrite