Проблемы с OpenVPN на pfSense 2.3.4
-
почерпнув из соседних топиков
"На сервере:
route 192.168.0.0 255.255.255.0;
push "route 192.168.1.0 255.255.255.0";"
в итоге добавил:route 192.168.0.0 255.255.255.0;
push "route 192.168.0.0 255.255.255.0";
push "route-gateway 10.8.0.1";результат тот же… С андроида по ssh подключаюсь к линуксам, RDP отсутствует...
Хотя тут же переподключаюсь к впн серверу на телефонии, и RDP есть. -
Что-то не так (с).
Использую OpenVPN на pfSense как корпоративный VPN уже несколько лет. Доступ в LAN центрального офиса и сети филиалов. Клиенты работают на всем, начиная с айфонов и заканчивая домашними роутерами.
Прокси нет.
В сетях разные ОС, от ХР до Линуксов, все доступны клиентам OpenVPN.С андроида по ssh подключаюсь к линуксам, RDP отсутствует…
Линуксы и RDP в одной подсети?
Правило на OpenVPN
IPv4 * * * * * * none All OVPN traffic permit
Визард создал? -
Что-то не так (с).
Использую OpenVPN на pfSense как корпоративный VPN уже несколько лет. Доступ в LAN центрального офиса и сети филиалов. Клиенты работают на всем, начиная с айфонов и заканчивая домашними роутерами.
Прокси нет.
В сетях разные ОС, от ХР до Линуксов, все доступны клиентам OpenVPN.Ураааа, таки работает, в последнем тесте выбрал старый файл профиля, без прописанных гв
в итоге решение проблемы в моём случае:
route 192.168.0.0 255.255.255.0; push "route 192.168.0.0 255.255.255.0"; push "route-gateway 10.8.0.1"; -
отсюда возник следующий вопрос - далее я подключу два филиала, на них будет тоже pfSense
Сервер на другом порте подниму Site-to-Site PKI, там тоже придётся добавлять маршруты? И их подсети тоже придётся добавить в текущий конфиг, чтоб были маршруты, с одиночных клиентов или как?
-
push "route-gateway 10.8.0.1";
Странно, обычно если default GW сети - машина с pfSense такого делать не требуется.Тогда уж попробуйте тогда совместить два правила, вместо
push "route 192.168.0.0 255.255.255.0";
push "route-gateway 10.8.0.1";передавать одно:
push "route 192.168.0.0 255.255.255.0 10.8.0.1";https://unix.stackexchange.com/questions/91071/openvpn-push-a-route-to-client-with-a-different-gateway
Сервер на другом порте подниму Site-to-Site PKI, там тоже придётся добавлять маршруты? И их подсети тоже придётся добавить в текущий конфиг, чтоб были маршруты, с одиночных клиентов или как?
На "центральном" сервере - route (или IPv4 Local network(s) ) в эти сети,
Клиентам - добавить push "route… в эти сети.и да:
если добавляю на сервере в админке FreePBX адрес 10.0.8.0/24
и
push "route-gateway 10.8.0.1"?
-
Доброе.
всё-же вписывал свою подсеть 192.168.0.0/24
Отвратительно. Миллион раз говорено - не использовать эту сеть на работе. Меняйте адресацию. Проблем не оберетесь, когда у клиентов сеть будет (а она будет) с такой же адресацией.
route 192.168.0.0 255.255.255.0;
push "route 192.168.0.0 255.255.255.0";Зачем Вы объявляете сетям за pf (директива route …) и клиентам (директива push "route …" ) одну и туже подсеть 192.168.0.0/24 ? Бред же. Если надо клиентам передать маршрут в сеть за пф, то достаточно только push "route …" . Удаляйте лишнее.
в локальной сети сервер на Centos 6 (asterisk) - если добавляю на сервере в админке FreePBX
https://www.freepbx.org/downloads/ Есть повод обновиться. Изменения - глобальные.
собственно поставил в голове всей сети сервер (Intel(R) Xeon(TM) CPU 3.20GHz 4 CPUs: 2 package(s) x 1 core(s) x 2 HTT threads)
Использовать такие мощности только для пф - это как топить печь ассигнациями. Виртуализируйте (https://forum.pfsense.org/index.php?topic=136398.0) . Сплошные плюсы же. Всю вашу инфаст-ру можно уместить на этом сервере.
-
Доброе.
всё-же вписывал свою подсеть 192.168.0.0/24
Отвратительно. Миллион раз говорено - не использовать эту сеть на работе. Меняйте адресацию. Проблем не оберетесь, когда у клиентов сеть будет (а она будет) с такой же адресацией.
route 192.168.0.0 255.255.255.0;
push "route 192.168.0.0 255.255.255.0";Зачем Вы объявляете сетям за pf (директива route …) и клиентам (директива push "route …" ) одну и туже подсеть 192.168.0.0/24 ? Бред же. Если надо клиентам передать маршрут в сеть за пф, то достаточно только push "route …" . Удаляйте лишнее.
в локальной сети сервер на Centos 6 (asterisk) - если добавляю на сервере в админке FreePBX
https://www.freepbx.org/downloads/ Есть повод обновиться. Изменения - глобальные.
собственно поставил в голове всей сети сервер (Intel(R) Xeon(TM) CPU 3.20GHz 4 CPUs: 2 package(s) x 1 core(s) x 2 HTT threads)
Использовать такие мощности только для пф - это как топить печь ассигнациями. Виртуализируйте (https://forum.pfsense.org/index.php?topic=136398.0) . Сплошные плюсы же. Всю вашу инфаст-ру можно уместить на этом сервере.
Спасибо - сеть действительно поменяю (правда перевод будет долгим и тяжким - 35 телефонов надо будет перенастроить на новый IP сервера, да и есть часть компов со статикой и таблицы маршрутизации), по push "route …" ) убрал, работать осталось =)) просто нашёл в соседнем посте по похожей проблеме данное решение.
По поводу виртуализации - организация хоть и не большая, но для всего выделяется своё железо (в наличии 6 стоечных и 1 fulltower серверов), так сказать если сдохнет - то что-то одно (хотя вариант собрать отказоустойчивую виртуализацию, но тут уже иная история)
Астериск обновлять не планируем - т.к. возникли в последней версии проблемы с нашими телефонами - отваливается регистрация (без причин в логах) до перезагрузки аппарата. Сидим на фрипбиксе STABLE (LEGACY) 10.13.66-64bit
Возник другой вопрос - пока сетью управлял наш
недостопочтенный контроллер доменаВеликийсофт ActiveDirectory (он же DHCP + DNS сервер + NAT (на нём был WAN с белым IP от провайдера)) - проблем с DNS не было - точнее имея один внешний айпишник, при запросе у сервера admin.тут имя моего домена.ru запросы улетали на сервер астериска, при запросах dell1.тут имя моего домена.ru и dell2.тут имя моего домена.ru улетали на соответствующие сервера (соответственно с поддоменами напримерцарьибогadmin.dell1.тут имя моего домена.ru)Как мне реализовать данную возможность на PF? Ощущаю всеми фибрами своей души, что копать нужно в dns forwarder или resolver, но вот не могу даже правильно сформулировать запрос для поиска в гугле…
-
Доброе.
По поводу виртуализации - организация хоть и не большая, но для всего выделяется своё железо (в наличии 6 стоечных и 1 fulltower серверов), так сказать если сдохнет - то что-то одно (хотя вариант собрать отказоустойчивую виртуализацию, но тут уже иная история)
Если что-то сдохнет и нет бэкапов - крайним окажитесь Вы. И за простОй - тоже Вы. И за то, что не организовали отказоустойчивость\быстрое восстановление.
Выберите самый мощный из серверов, разверните на нем Proxmox и мигрируйте всё на него.
Proxmox умеет асинхронную кластеризацию, т.е по расписанию (да хоть каждые 5-10-xx минут!) ВМ с одного хоста прозрачно мигрирует на другой. Лишь бы сеть позволяла это делать быстро.
Задумайтесь. Отвечать-то Вам.
Зы. Вот так у меня выглядит бэкап по расписанию. Могу восстановить полностью ВМ за 10-20 мин.
 -
Доброе.
По поводу виртуализации - организация хоть и не большая, но для всего выделяется своё железо (в наличии 6 стоечных и 1 fulltower серверов), так сказать если сдохнет - то что-то одно (хотя вариант собрать отказоустойчивую виртуализацию, но тут уже иная история)
Если что-то сдохнет и нет бэкапов - крайним окажитесь Вы. И за простОй - тоже Вы. И за то, что не организовали отказоустойчивость\быстрое восстановление.
Выберите самый мощный из серверов, разверните на нем Proxmox и мигрируйте всё на него.
Proxmox умеет асинхронную кластеризацию, т.е по расписанию (да хоть каждые 5-10-xx минут!) ВМ с одного хоста прозрачно мигрирует на другой. Лишь бы сеть позволяла это делать быстро.
Задумайтесь. Отвечать-то Вам.
Зы. Вот так у меня выглядит бэкап по расписанию. Могу восстановить полностью ВМ за 10-20 мин.
у меня бюджетная организация, и по этому я отвечаю только за работу "в целом" а за выход конкретной единицы оборудования - извините,
денег нет но вы держитесьне моя проблема =) к тому же каждый сервер имеет бекап в виде второго сервера и регулярных копий БД, сделано колхозно но пашет Т_Т я только заменил маршрутизатор Длинк на помощнее )) -
я только заменил маршрутизатор Длинк на помощнее )
Длинк поднимает соединение (PPPOE\etc) и стоит перед WAN pfSense?
Золотой стандарт - перевести его (как и любой другой роутер) в режим бриджа т поднимать линк непосредственно на pfSense. Тогда "мощность" роутера практически не имеет значения, он превращается в тупой преобразователь среды +отсутствие двойного NAT и т.п. -
Доброе.
у меня бюджетная организация, и по этому я отвечаю только за работу "в целом" а за выход конкретной единицы оборудования - извините,
денег нет но вы держитесьне моя проблема =) к тому же каждый сервер имеет бекап в виде второго сервера и регулярных копий БД, сделано колхозно но пашет Т_Т я только заменил маршрутизатор Длинк на помощнее ))Отговорки. (Очень) зря вы. Это ж еще и опыт(!) получите. Я карьеру начинал тоже в госструктуре и только самообучение мне помогло набраться опыта. Иначе так бы и "подавал бы ключи" до сих пор.
P.s. После того как ушел из госсектора, лет через 7 встретил бывшего коллегу. Начал я спрашивать про виртуализацию, про *nix, про что нового-интересного внедрили - тот только плечами пожимал :-\
Подумайте. Пока есть время и возможность.
-
я только заменил маршрутизатор Длинк на помощнее )
Длинк поднимает соединение (PPPOE\etc) и стоит перед WAN pfSense?
Золотой стандарт - перевести его (как и любой другой роутер) в режим бриджа т поднимать линк непосредственно на pfSense. Тогда "мощность" роутера практически не имеет значения, он превращается в тупой преобразователь среды +отсутствие двойного NAT и т.п.так собственно и сделал - на длинке просто поднят PPPoE раздаётся вайфай для моего мобильника и сразу pfSense, в длинке pf запихал в DMZ и всё, просто из-за большого количества компов работающих с сетью длинк потупливал, да интерфейсы на нём 100мбит, и 4 коммутатора были воткнуты в него напрямую…. т.е. весь трафик в сети летал через бедолагу за 600 рублей.
PF подключил напрямую к Dlink DGS-1510-52 из него пока езернет в ещё два таких же, позже оптику поставлю между DGSами
По поводу опыта - потихоньку набираюсь, итак уже один из всех подведомственных организациях цифровую телефонию внедрил полностью сам с нуля, хоть и на простом FreePBX из коробки, MS AD поднял и настроил вместе с средствами защиты от несанкционированного доступа, все с eToken ходят, даже аттестацию ФСТЭК провели =)
Пока ещё не дошли руки связать pf + MS AD, пока просто pf раздаёт в качестве DNS сервера IP от сервака с доменом, а на том статика на яндекс и резерв гугл.
-
так собственно и сделал - на длинке просто поднят PPPoE раздаётся вайфай
Я предлагал как раз обратное - поднимать PPPoE НЕ на роутере, а на pfSense, и указал чем это предпочтительнее.
Единственный плюс вашего решения - возможность использовать Wi-Fi роутера.Пока ещё не дошли руки связать pf + MS AD
Если не планируете использовать прокси с авторизацией\управлением доступом в интернет\VPN и т.п - связь pf + MS AD вам ничего особенного не даст. -
так собственно и сделал - на длинке просто поднят PPPoE раздаётся вайфай
Я предлагал как раз обратное - поднимать PPPoE НЕ на роутере, а на pfSense, и указал чем это предпочтительнее.
Единственный плюс вашего решения - возможность использовать Wi-Fi роутера.Пока ещё не дошли руки связать pf + MS AD
Если не планируете использовать прокси с авторизацией\управлением доступом в интернет\VPN и т.п - связь pf + MS AD вам ничего особенного не даст.Вот как раз в целях опыта и хочу связать =) больше знаю меньше сплю так сказать ))) отрабатываю разные варианты применения
