pfSense + OpenVPN доступ к некоторым локальным адресам
-
@Konstanti туннель у меня проходить через 10.0.0.0 (LAN).
если есть возможность, подскажите подробнее что нужно сделать, ибо мозг уже не варит :) -
@trapecija Для начала , ради интереса, попробуйте "ручками" прописать у клиента статический маршрут для сети 192.168.1.0/24
route add 192.168.1.0/24 ip_адрес_ туннеля_co_стороны_openvpn_сервера
(команды могут отличаться по синтаксису , но идея ясна)
в таблице маршрутизации клиента должен появиться маршрут к 192.168.1.0/24 через openvpn туннель
(при этом Вы должны быть уверены, что со стороны клиента не было до этой операции сети 192.168.1.0/24 в таблице маршрутизации, чтобы не было проблем)
попробуйте подключиться к HP
если получилось , то надо добавить сеть 192.168.1.0/24 в настройках сервера , чтобы клиент всегда получал нужный маршрут при установлении соединения
Делается это тут
и проверьте правила файрвола на OpenVPN интерфейсе , чтобы был разрешен доступ к нужной сети -
@Konstanti
прописал, у клиента ничего не появилось. или я не в ту степь забрел ) -
@trapecija Если клиент - это PFSense
то не мучайтесь , покажите настройки сервера ,то раздел , который касается настройки удаленных/локальных и туннельных сетей -
@Konstanti
если это то , что вас интересует -
@trapecija Нет , не то
Нужны настройки сервера -
-
@trapecija нижней части настроек нет
где указываются удаленные/локальные сети -
@Konstanti у меня дальше такого нет , идет "Настройки клиента" , "Расширенные настройки клиента" и тд
-
@Konstanti заранее прошу прощения за свою тупость, я только начал познавать pfSense :)
-
@trapecija Тогда давайте сначала
1 настройки сервера
2 настройки клиента
3 таблица маршрутизации клиента
4 таблица маршрутизации сервера -
@Konstanti 123- вот скриншоты настроек клиента и сервера
а где посмотреть таблицы маршрутизации? -
@trapecija Нужно сделать подобное -
Настройки OpenVPN сервера:
Настройки Firewall:
Какая у вас версия pfSense ?
Таблицы маршрутизации можно посмотреть в Diagnostics / Routes
-
@viktor_g сделал как вы указали, но все равно не могу зайти на 192.168.1.194
pfSense 2.4.4
таблица маршрутизации:
-
@trapecija Это таблица маршрутизации сервера , как я понимаю ?
Или как ???
Если сервера - не вижу в ней информации о сети 192.168.1.0/24 -
@Konstanti IPv4 Routes. еще есть IPv6, больше ничего нет
-
@trapecija Это таблица маршрутизации сервера или клиента ???
-
@Konstanti мы наверное друг друга не понимаем... скорее всего клиента
-
Обновите pfSense до версии 2.4.4-p3
Кто в качестве клиента?
Нужно посмотреть его настройки -
@trapecija Покажите тогда таблицу маршрутизации сервера
Если это таблица маршрутизации клиента - то понятно , почему Вы не можете "достучаться" до HP
Клиент ничего не знает про сеть 192.168.1.0/24 -
@Konstanti где мне найти таблицы маршрутизации клиента/сервера? я этого не понимаю :)
-
-
@trapecija Еще раз
Для полного понимания , что и как у Вас настроено
Нужно
1 настройки OpenVpn сервера
2 настройки файрвола на стороне Openvpn сервера (Openvpn интерфейс) - см картинки viktor_g
3 таблицы маршрутизации сервера ( Diagnostics / Routes)
Если на стороне клиента тоже PF
то покажите то же самое для клиента , что и для сервера -
@Konstanti вот теперь понятно. настройки OpenVPN Server + Client я кидал выше. Файрволл настроен так же как у viktor_g. Выше я скинул таблицу маршрутизации сервера.
-
@trapecija Правильно, сервера
а уверяли , что клиента
Итак , вопрос - где в этой таблице маршрутизации сеть 192.168.1.0/24 ?
Если непонятно что и как , рисуйте схему сети
Если сеть 192.168.1.0/24 на стороне сервера , то ее нет в таблице маршрутизации сервера
Если эта сеть на стороне клиента , то сервер опять же ничего не знает по эту сеть -
@trapecija И еще , обратите внимание
У Вас туннельная сеть openvpn 10.0.0.0/24
и на интерфейсе re0 тоже висит сеть 10.0.0.0/24
так быть не должно -
@Konstanti
Вот как устроена моя сеть. Вроде должно быть понятно.Насчет туннели , у меня все заработало только после того, как я поставил 10.0.0.0/24.
-
@Konstanti покажите таблицу маршрутизации устройства что на схеме обозначено как Router
У Вас туннельная сеть openvpn 10.0.0.0/24
и на интерфейсе re0 тоже висит сеть 10.0.0.0/24
так быть не должно- обратите внимание
-
@trapecija Что я вижу
Есть 2 сети , подключенные к PC/PF+OPENVPN- 10.0.1.0/24 - интерфейс OPT1 (em0)
- 10.0.0.0/24 - интерфейс LAN (re0)
- 10.0.0.0/24 - сеть openvpn туннеля (ovpns1) - так неправильно
- есть какая-то внешняя сеть , подключенная к openvpn серверу , и весь трафик которой идет через vpn- туннель
Верно ?
4 . есть еще какой-то роутер , подключенный к сети 10.0.0.0/24 с одной стороны и к сети 192.168.1.0/24 с другой ?
Верно ?
Если все верно , то обратите внимание на пункт 3 и на тот факт , что PFSENSE ничего не знает про сеть 192.168.1.0/24 -
- да
- да
- да
- внешний ip адрес от провайдера, по которому я подключаюсь к VPN серверу (PC/WAN) .
- Роутер подключен к сети 10.0.0.0/24 по WAN, по LAN подключен HP iLO с IP 192.168.1.194.
Вот таблица маршрутизации роутера:
-
@trapecija По роутеру все понятно
Еще раз повторю , что из
сети 10.0.0.0/24
сети 10.0.1.0/24
и из openvpn туннеля у Вас не будет доступа к сети 192.168.1.0/24 при текущих настройках PFSENSE, потому что PFSENSE ничего не знает про сеть 192.168.1.0/24 -
@Konstanti понял, как сделать так, чтоб pfsense увидел сеть 192.168.1.0/24?
-
@trapecija https://docs.netgate.com/pfsense/en/latest/routing/static-routes.html
-
Настройте для OpenVPN клиентов отдельную сетку, например 10.0.1.0/24
И настройте на маршрутизаторе Router маршрут в эту сеть, или про укажите pfSense как шлюз по-умолчанию -
@viktor_g 10.0.1.0/24 = OPT1 (сервер)
-
@trapecija а не проще отказаться от использования устройства "РОУТЕР" ?
тогда HP будет получать ip-адрес от PF , и прекрасно все будет видеться клиентами OpenVPN , при правильной настройке , естественно .
Просто я пока не понимаю глобального смысла в этом устройстве при такой топологии сети. -
@trapecija said in pfSense + OpenVPN доступ к некоторым локальным адресам:
@viktor_g 10.0.1.0/24 = OPT1 (сервер)
Так сделайте 10.0.2.0/24 )
-
@Konstanti роутер нужен для раздачи wi-fi. сервер (HP) и так имеет свою сеть, просто у меня на материнской плате больше нет pci слотов для сетевой карты , так бы не парился и подключил бы iLO напрямую к PF.
-
@trapecija Если он нужен только для раздачи wi-fi, то его можно перевести в режим точки доступа, и будет Вам счастье .
-
@viktor_g собственно глупый вопрос: как сделать вручную сеть для туннеля OpenVPN? я сейчас заново переделал сети, теперь все выглядит так:
P.S. OpenVPN еще не сконфигурирован