Маршрутизация в OpenVPN
-
Есть 2 pfSense 2.4.4, один обслуживает подсеть 192.168.1.0/24, на нем поднят OpenVPN с подсетью 10.4.2.0/24, второй обслуживает подсеть 192.168.0.0/24, на нем поднят OpenVPN с подсетью 10.4.10.0/24.
Между ними поднят IPSec тоннель.
Компы из подсетей 192.168.1.0/24 и 192.168.0.1 друг друга видят, компы из подсети 10.4.2.0/24 видят подсеть 192.168.1.0, компы из подсети 10.4.10.0 видят подсеть 192.168.0.0/24. Как заставить OpenVPN клиентов увидеть подсети, сидящие за IPSec? -
@rodley
Здр .
Какого вида туннель ? Классический IPSEC или VTI ?
Если классический и имеете доступ к обоим PF , то надо просто добавить еще две фазы 2 на обеих сторонах туннеля
а . 10.4.2.0 <-> 192.168.0.0
б. 192.168.1.0 <-> 10.4.10.0если VTI , то просто прописать статические маршруты
-
@rodley said in Маршрутизация в OpenVPN:
Как заставить OpenVPN клиентов увидеть подсети, сидящие за IPSec?
10.4.2.0/24 и 10.4.10.0/24 - это сети мобильных клиентов или как?
Нарисуйте схему.Общая рекомендация - добавить в фазу2 IPSec нужную подсеть.
-
Схема там хитрая, с одной стороны там пока еще роутер стоит, который тоннель держит, а за ним уже pfsense, на котором OpenVPN сервер. Но за подсказку спасибо, буду пробовать.
-
@konstanti said in Маршрутизация в OpenVPN:
если VTI , то просто прописать статические маршруты
В случае VTI где нужно писать правила (если они нужны)
в Firewall-Rules-IPsec или на интерфейсах ipsecXXXX?
Нужно ли при отсутствии запретов правило вида
Pv4 * * * * * * none в Firewall-Rules-IPsec? -
@pigbrother
Хмм , только сегодня об этом читал
в документации написано , мол, пишите правила на закладке IPSECRouted IPsec Firewall Rules
Routed IPsec traffic appears to the OS on both the specific IPsec interface and the enc0 interface, which is governed by the rules on the IPsec tab. Though a tab appears for the assigned interface, traffic must be passed on the IPsec tab.Вот только сейчас с англоговорящим коллегой в соседней ветке пытаемся настроить ему VTI и сталкиваемся с проблемами . VTI я один раз настроил на стенде и больше к этому не возвращался . Не готов .
Один вывод следует - эксперементируя с правилами VTI удаленно будь готов потерять доступ к WebGUI . Всегда нужен план B. -
Спасибо за ответ
@konstanti said in Маршрутизация в OpenVPN:
Один вывод следует - эксперементируя с правилами VTI удаленно будь готов потерять доступ к WebGUI . Всегда нужен план B.
Это относится к любой удаленной настройке роутера\файрволла. У Микротк, например, есть фича - администрирование в Safe-режиме. Любой обрыв отменяет все изменения.
У меня на IPsec висит очень важный туннель с б-гмерзким Kerio, на нем, естественно, эксперементировать не буду.
-
@konstanti said in Маршрутизация в OpenVPN:
@pigbrother
Хмм , только сегодня об этом читал
в документации написано , мол, пишите правила на закладке IPSECRouted IPsec Firewall Rules
Routed IPsec traffic appears to the OS on both the specific IPsec interface and the enc0 interface, which is governed by the rules on the IPsec tab. Though a tab appears for the assigned interface, traffic must be passed on the IPsec tab.Вот только сейчас с англоговорящим коллегой в соседней ветке пытаемся настроить ему VTI и сталкиваемся с проблемами . VTI я один раз настроил на стенде и больше к этому не возвращался . Не готов .
Один вывод следует - эксперементируя с правилами VTI удаленно будь готов потерять доступ к WebGUI . Всегда нужен план B.Ну у меня проблема именно в маршрутизации трафика с openvpn. И там у меня обычный IPSec. А потерять доступ нельзя, до роутера 6 часов лёту :)
-
@rodley said in Маршрутизация в OpenVPN:
А потерять доступ нельзя, до роутера 6 часов лёту :)
Тогда либо резервный канал с доступом к чему-то типа Тимвьювер, а плюс к этому желателен относительно квалифицированный помощник на удаленной площадке.
-
@pigbrother SSH всегда есть на нестандартном порту)))) . Или Openvpn настроенный
-
@konstanti said in Маршрутизация в OpenVPN:
SSH всегда есть на нестандартном порту)))) . Или Openvpn настроен ,
Запасной канал у меня есть. )))
Один раз меня подвел конкретно PF. Удаленно создавал L2TP. В PF был (есть?) баг - при привязке L2TP к физическому интерфейсу PF может уйти в циклический ребут. -
@pigbrother Не знаю , не слышал про такое .
Вот почему все-таки многие админы старой закалки предпочитают интерфейс командной строки , когда сами контролируют , что и как загружается. Т е настроил тот же mpd в связке с Freebsd , не прописывая в автозагрузку , проверил , потерстировал . Бац , и в продакшн ))) -
Добрый.
Между ними поднят IPSec тоннель.
Чем обусловлен выбор ipsec ? Я к тому, что Openvpn и гибче и удобнее в управлении и умеет аппаратно AES.
У меня на IPsec висит очень важный туннель с б-гмерзким Kerio, на нем, естественно, эксперементировать не буду.
И на др. конце тоже это "чудо" ? Или в Керио изобрели собственный сетевой протокол и уйти от него никак нельзя?
-
@werter said in Маршрутизация в OpenVPN:
И на др. конце тоже это "чудо" ? Или в Керио изобрели собственный сетевой протокол и уйти от него никак нельзя?
Мы с вами это уже обсуждали 3 года назад. Напомню ваш совет:
Все же обдумайте предложение встретить "повелителя" Керио вечером после работы эээ… не с букетом цветов ::)
*Добрым словом и кольтом можно добиться гораздо большего, чем только добрым словом" (Аль Капоне)*Один конец - наш PF. С другой Керио самостоятельной компании. У них своя политика, свои взгляды на IT. С нашей стороны влияние на них невозможно.
Хорошо еще, что Керио стал(о) (довольно давно, будем честными) поддерживать стандартный ipsec. Я, кстати, тут отписывался как настроить связку c PF, инфы в сети было на удивление мало.
-
@konstanti said in Маршрутизация в OpenVPN:
Не знаю , не слышал про такое .
Ошибка очень похожа на эту:
https://redmine.pfsense.org/issues/4510https://forum.netgate.com/topic/84218/%D0%BD%D0%B5-%D0%B7%D0%B0%D0%BF%D1%83%D1%81%D0%BA%D0%B0%D0%B5%D1%82%D1%81%D1%8F-pfsense-%D0%B8%D0%B7-%D0%B7%D0%B0-%D0%BE%D1%88%D0%B8%D0%B1%D0%BA%D0%B8-%D0%B2-%D0%BA%D0%BE%D0%BD%D1%84%D0%B8%D0%B3%D0%B5
По второй ссылке как раз практически мой случай.
Используя идею по этой же ссылке наколхозил быстрый способ восстановления незагружаемой PF из single user mode