PfSense. Клиенты OpenVPN не пингуют локальную сеть за PF.
-
Здравствуйте! Столкнулся с очень странной проблемой. Установил Pfsense. Настроил интерфейсы, настроил правила, настроил OpenVPN. Реализовал схем, файл схемы вложил.
В правилах локальной сети разрешен любой обмен с сетью 10.10.2.0.
В правилах OPenVPN разрешен вообще любой трафик.
Таблица маршрутизации PsSense выглядит так:default 237.70.30.185 UGS 3554726 1500 alc0 10.10.1.0/24 link#2 U 4914267 1500 re0 10.10.1.1 link#2 UHS 0 16384 lo0 10.10.2.0/24 10.10.2.2 UGS 0 1500 ovpns1 10.10.2.1 link#7 UHS 0 16384 lo0 10.10.2.2 link#7 UH 24368 1500 ovpns1 127.0.0.1 link#3 UH 2672 16384 lo0 237.70.26.30 bc:ae:cc:2e:a1:bb UHS 0 1500 alc0 237.70.30.184/29 link#1 U 182154 1500 alc0 237.70.30.189 link#1 UHS 0 16384 lo0 237.70.41.145 bc:ae:cc:2e:a1:bb UHS 0 1500 alc0
Клиент OpenVPN подключается к серверу и схема связи выглядит примерно так:
ПК1: пингует внутренний интерфейс PFSence(10.10.1.1). В его таблице маршрутизации есть строчка которая выглядит так:
10.10.1.0/24 via 10.10.2.1
ПК2: пингует тунельный интерфейс OpenVPN сервера (10.10.2.1). Маршрут по умолчанию за 10.10.1.1.Но ПК друг друга не пингуют друг друга.
Что я сделал не верно. Задача тривиальна, но что то не работает.
![????? OpenVPN.png](/public/imported_attachments/1/????? OpenVPN.png)
![????? OpenVPN.png_thumb](/public/imported_attachments/1/????? OpenVPN.png_thumb)
-
Доброго.
Правила fw на vpn, lan покажите. И разрешите icmp на vpn-интерфейсе. -
Доброго.
Правила fw на vpn, lan покажите. И разрешите icmp на vpn-интерфейсе.На интерфейсах openvpn и LAN разрешён весь трафик IPv4.
Как показать fw?
-
Для теста на всех интерфейсах включил и применил правило разрешающее прохождение любого трафика. Хосты не запинговались. :-[
-
Как показать fw?
Берете фотик (внимание - только пленочный!). Открываете настройки правил fw. Фоткаете изображение монитора. Проявляете пленку. Печатаете фото. Сканируете. Выкладываете сканы тут. Но лучше и правильнее выслать фотки всем здесь зареганым по почте. После - ждете ответа.
P.s. Не чудите. Скрины правил выкладывайте.
-
Скрины правил выкладывайте.
Не в полном объеме усвоил терминологию PFsense. Но выше писал что добавил правило которое разрешило хождение любого трафика ipv4 - не получилось.
Но скрины решил приложить(Это правило уже отключено). Никаких межсетевых экранов на хостах не включено. Почитал анлоязычную ветку openvpn. Нашел около 4 не решенных тем. На сколько я понимаю, она или очень простая или очень легкая…
-
Доброго.
Но ПК друг друга не пингуют друг друга.
Какой локальный адрес у ПК1?
Что шлюзом у ПК2 (к-ый в сети пф) ? Должен быть пф.
Откл. на ПК2 антивирус и fw. В том числе и родной от MS.
Проверяйте.Ps1. Я бы не использовал для vpn-сети адреса, похожие на адреса сети за пф. Запутаетесь. Используйте что-то типа 192.168.200.х или 172.32.100.х
Ps2. На скринах правил fw есть лишние или неверные.
1. Убрать.
2. Убрать. Дыра. Черная. Скайп прекрасно работает через TCP\443 (HTTPS). Ему этого вполне достаточно.
3. ОК.
4. Это ж кто у нас в 2017 (!) году просто по SMTP TCP\25 работает ? Убрать это правило. Оставить только mail_secure.И касаемо правила DNS (TCP\UDP 53). Для безопасности я бы все днс-запросы ( к-ые вовне) завернул на пф Firewall / NAT / Port Forward) . Вот так :
И NTP туда же на реальные NTP серверы. Но можно вкл NTP-сервер на пф и также завернуть все ntp-запросы.
![2017-11-13 11_19_32.png](/public/imported_attachments/1/2017-11-13 11_19_32.png)
![2017-11-13 11_19_32.png_thumb](/public/imported_attachments/1/2017-11-13 11_19_32.png_thumb)
![2017-11-13 11_29_56.png](/public/imported_attachments/1/2017-11-13 11_29_56.png)
![2017-11-13 11_29_56.png_thumb](/public/imported_attachments/1/2017-11-13 11_29_56.png_thumb)
![2017-11-13 11_36_41.png](/public/imported_attachments/1/2017-11-13 11_36_41.png)
![2017-11-13 11_36_41.png_thumb](/public/imported_attachments/1/2017-11-13 11_36_41.png_thumb) -
Доброго.
Неплохая шпаргалка по директивам OpenVPN на русском - https://z11grun.blogspot.com/2017/09/openvpn.html