Openvpn Хелп… Remote Access и Peer to Peer
-
Добрый день.
Нужна ваша помощь, голова уже кипит просто.
Вкратце, есть впн сервер А (локалка 192.168.10.0/24).
Remote Access работает на ура(тунель 10.0.8.0/24).
Стоит задача на том же сервере А поднять еще Peer to Peer. Добавил и настроил, тунель (10.0.9.0/24) поднялся. НО…
С сервера В (локалка 192.168.17.0/24) пингуется вся локалка за сервером А, но с сети за сервером В, пингуется только сервер А. Перерыл интернет но не могу найти решение.Remote Access (SSL/TLS + User Auth)
Interface: WAN
Local port: 1194
IPv4 Tunnel Network: 10.0.8.0/24
Redirect IPv4 Gateway +Peer to Peer (Shared Key) Server
Interface: WAN
Local port: 1195
IPv4 Tunnel Network: 10.0.9.0/24
IPv4 Remote network: 192.168.17.0/24Peer to Peer (Shared Key) Client
Interface: WAN
Local port: 1195
IPv4 Tunnel Network: 10.0.9.0/24
IPv4 Remote network: 192.168.10.0/24Rules Server
WAN
States Protocol Source Port Destination Port Gateway Queue Schedule Description
0 /9 KiB * RFC 1918 networks * * * * * Block private networks
0 /14.55 MiB * Reserved Not assigned by IANA * * * * * Block bogon networks
1 /601 KiB IPv4 UDP * * WAN address 1194 (OpenVPN) * none OpenVPN VPN wizard
0 /34 KiB IPv4 UDP * * WAN address 1195 * none vpn2LAN
States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions
2 /45.68 MiB * * * LAN Address 80 * * Anti-Lockout Rule
13 /189.33 MiB IPv4 * LAN net * * * * none Default allow LAN to any rule
0 /0 B IPv6 * LAN net * * * * none Default allow LAN IPv6 to any ruleOpenVPN
States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions
107 /24.36 MiBIPv4 * * * * * * none OpenVPN VPN wizard
0 /0 B IPv4 * 192.168.17.0/24 * * * * none -
Shared Key давно не пользуюсь, но когда-то помогали правила на LAN:
для клиента
IPv4 * LAN net * 192.168.10.0/24 * * none
для сервера
IPv4 * LAN net * 192.168.17.0/24 * * noneПравила поставьте повыше
Ну и убедитесь в наличии правила на OpenVPN
IPv4 * * * * * * none
-
Все проверил, поправил. Но результат тот же.
С сервера клиента В с меню диагностики все пингуется, а клиенты за сервером пингуют только сервер ВПН А.
Таблица маршрутов сервера клиентаdefault ...181 UGS 193410 1500 em0
10.0.9.1 link#8 UH 0 1500 ovpnc1
10.0.9.2 link#8 UHS 0 16384 lo0
127.0.0.1 link#4 UH 98 16384 lo0
192.168.10.0/24 10.0.9.1 UGS 0 1500 ovpnc1
192.168.17.0/24 link#3 U 37440 1500 em1
192.168.17.1 link#3 UHS 0 16384 lo0
...180/30 link#2 U 158642 1500 em0
..*.182 link#2 UHS 0 16384 lo0Таблица маршрутов сервера
default 192.168.10.100 UGS 193410 1500 hn1
10.0.8.0.24 10.0.8.2 UGS 195709 1500 ovpns1
10.0.8.1 link#7 UHS 0 16384 lo0
10.0.8.2 link#7 UH 338 1500 ovpns1
10.0.9.1 link#8 UHS 0 16384 ovpnc1
10.0.9.2 link#8 UH 123149 1500 lo0
127.0.0.1 link#1 UH 1171 16384 lo0
192.168.10.0/24 link#6 U 2199053 1500 hn1
192.168.10.107 link#6 UHS 0 16384 lo0
192.168.17.0/24 10.0.9.2 UGS 38 1500 ovpns2
...176/30 link#5 U 2159593 1500 hn0
...177 link#5 UHS 0 16384 lo0 -
Файрволлы на на пингуемых компьютерах отключены?
Убедитесь, что шлюзами сетей A и B являются из pfSense.
Приведите трассировку с ПК сети В в сторону ПК сети А. -
Пингую теминальный сервак,днс сервер и третий pfsense который является dhcp с выходом в нет.
При трасеровке сервера А (192.168.10.107)
1мс 192.168.17.1
1мс 192.168.10.107При трасеровке например 192.168.10.115 или 192.168.10.100
1мс 192.168.17.1
1мс 10.0.9.1
*
*
*Не могу понять что не так так как клиенты Remote Access все пингуют в сети А и получают доступ :-\
-
третий pfsense который является dhcp с выходом в нет.
Openvpn сервер поднят не не нем и он является шлюзом по умолчанию для сети, которую пингуете?
-
Да. При подмене шлюза с основного на внп (пк с сети А), копм запинговался с сети В. Но возможно ли где-то поправить чтобы ПК сети А оставались на основном шлюзе (там и дшсп и суриката). Все таки клиенты Remote Access подключаясь к серваку В пингуют и работают с ресурсами сетиА. Хотелось бы для решения впн использовать отдельный сервак.
Очень благодарен за помощь. (а то я один сис админ в канторе и только пол года как начал работать с pfsense)P.S.: И почему все таки сервер В с раздела диагностики все пингует без дополнительных танцев
-
2 шлюза в сети - ассиметричная маршрутизация=проблемы.
System - Routing - Gateways
На основном шлюзе по умолчанию, который выпускает в инет нужно добавить шлюз в сеть В с указанием LAN IP OVPN-сервераи маршрут в сеть B с указанием этого шлюза
в System - Routing - Static RoutesИли делать
route add на каждом ПК, в сети А к которому нужен доступ из B -
Доброго.
Да. При подмене шлюза с основного на внп (пк с сети А), копм запинговался с сети В. Но возможно ли где-то поправить чтобы ПК сети А оставались на основном шлюзе (там и дшсп и суриката). Все таки клиенты Remote Access подключаясь к серваку В пингуют и работают с ресурсами сетиА
http://skeletor.org.ua/?p=5374
Или через dhcp выдавать маршруты https://forum.pfsense.org/index.php?topic=74903.0
Хотелось бы для решения впн использовать отдельный сервак
https://pritunl.com/
а то я один сис админ в канторе
Виртуализация - https://forum.pfsense.org/index.php?topic=136398.0
-
Вероятно кто то найдёт этот пост на просторах тырнетов, проблема решается следующим путём:
-
pfSense здания A является сервером peer-to-peer (ssl/tls)
IPv4 Tunnel Network - 10.0.8.0/24
IPv4 Local network(s) - 192.168.10.0/24 (вместо ХХХ своя сеть)
IPv4 Remote network(s) - 192.168.11.0/24, 192.168.12.0/24
параметры Client Specific Overrides:
Common Name - имя сертификата выданного через пфсенс для клиента B
Advanced - iroute 192.168.11.0 255.255.255.0
Common Name - имя сертификата выданного через пфсенс для клиента C
Advanced - iroute 192.168.12.0 255.255.255.0 -
pfSense здания B является клиентом peer-to-peer (ssl/tls)
IPv4 Remote network(s) - 192.168.10.0/24, 192.168.12.0/24 (сеть головного и сеть второго филиала) -
pfSense здания C является клиентом peer-to-peer (ssl/tls)
IPv4 Remote network(s) - 192.168.10.0/24, 192.168.11.0/24 (сеть головного и сеть первого филиала)
делается всё по стандартным инструкциям с просторов интернета
-
