OpenVPN Клиент Сервер при сети из нескольких филиалов
-
@nintendoos
Здр
У меня есть подозрение , что центральный офис и остальные филиалы ничего не знают про сети удаленных клиентов .
Как вариант , попробуйте включить Nat outbound на openvpn интерфейсе филиала (туннель филиал - офис ) для удаленной сети .
Я бы использовал tcpdump для локализации проблемы -
@Konstanti
Добрый! Спасибо за ответ.
Я так понимаю, что необходимо именно в филиале в Nat Outbound включить?
Там созданы автоматические правила по типу WAN 127.0.0.0/8 ::1/128 192.168.3.0/24 10.10.14.0/24 10.10.10.0/24 с портом 500 и на WAN adress
И второе такое же -
@nintendoos Именно в филиале
Где и как делать Вам должно быть виднее (это надо смотреть по таблицам маршрутизации) Те нужно делать так , чтобы на выходе Вы имели пакет с адресом источника , известного всем остальным . Чтобы пакет мог вернуться обратно .Или , как вариант , если у Вас настроена статическая маршрутизация прописывать в офисе и филиалах ручками маршруты к удаленным сетям
-
@Konstanti
Спасибо за ответ.
Может конечно я не выспался. Но что-то не совсем понимаю.
У меня филиалы друг друга видят. маршруты проходят в обе стороны.
А вот впн клиенты видят только одну сеть - ту куда подключаються.
Остальные сети не видят.
В маршрутах у них прописывается все сети.
Попробую конечно сегодня ночью прописать в NATе маршрут.
Тогда и отпишусь. -
This post is deleted! -
@nintendoos Блин ,
филиалы друг друга видят , потому что маршруты прописаны ручками из филиала А к филиалу Б .
А тут появляется сеть С , про которую знает только филиал А . Он-то , со своей стороны, отправит пакет от C в направлении филиала Б . А как пакет обратно вернется , если Б ничего не знает про С ?Запустите tcpdump в разных точках и посмотрите за движением пакета от С к Б и обратно.
-
@pigbrother
Пробовал и так делать.
В конечном итоге затык все равно с клиентами которые подключаются с домашних или выданных ноутбуков.
Проверял даже на домашнем ноуте. где моя под сеть это 192.16.16.0/24 -
@Konstanti
Спасибо!
Сейчас посмотрю.
Что-то я это вообще из виду упустил. -
Добрый вечер!
Всем огромное спасибо за наводки.
Не уверен, что это абсолютно верное решение.
Но решил таким способом.
Добавил в каждом филиале
В раздел Advanced Cofiguration
Costom options
добавил строчку
route 10.10.64.0 255.255.255.0 - это сеть OpenVPN для клиентов которые подключаються с выданных ноутов.Всем еще раз Огромное спасибо за советы и направления!
С Уважением.
-
@nintendoos said in OpenVPN Клиент Сервер при сети из нескольких филиалов:
Custom options
route 192.168.4.0 255.255.255.0;
route 192.168.5.0 255.255.255.0;
route 192.168.6.0 255.255.255.0;Не надо на клиентах так. Запутаетесь. Пушите маршруты клиентам на сервере. Там пункт remote networks для этого существует.
Еще. Вы выбрали алгоритм AES без GCM. И при этом вкл. аппаратное шифрование. Делов так не будет. Выбирайте и на сервере и на клиентах алгортим с GCM в название. Иначе профита от вкл. аппаратного шифрования не получите.
-
@werter said in OpenVPN Клиент Сервер при сети из нескольких филиалов:
Пушите маршруты клиентам на сервере
Не сильно уверен (давно отказался), но вроде как push route для PSK не работает.
-
-
@werter
Отвечал на этот пост
https://forum.netgate.com/topic/147028/%D0%B4%D0%B2%D0%B0-%D0%BF%D1%80%D0%BE%D0%B2%D0%B0%D0%B9%D0%B4%D0%B5%D1%80%D0%B0-%D0%B8-openvpn-%D0%BA%D0%BB%D0%B8%D0%B5%D0%BD%D1%82/81где вы пишете
@werter said in Два провайдера и openvpn клиент:
Создаем и настраиваем P2P Shared key Openvpn серверы и клиенты
Как оно попало в этот топик - не знаю
