OpenVPN Клиент Сервер при сети из нескольких филиалов

nintendoos

@Konstanti
Добрый! Спасибо за ответ.
Я так понимаю, что необходимо именно в филиале в Nat Outbound включить?

Там созданы автоматические правила по типу WAN 127.0.0.0/8 ::1/128 192.168.3.0/24 10.10.14.0/24 10.10.10.0/24 с портом 500 и на WAN adress
И второе такое же

Konstanti

@nintendoos Именно в филиале
Где и как делать Вам должно быть виднее (это надо смотреть по таблицам маршрутизации) Те нужно делать так , чтобы на выходе Вы имели пакет с адресом источника , известного всем остальным . Чтобы пакет мог вернуться обратно .

Или , как вариант , если у Вас настроена статическая маршрутизация прописывать в офисе и филиалах ручками маршруты к удаленным сетям

nintendoos

@Konstanti
Спасибо за ответ.
Может конечно я не выспался. Но что-то не совсем понимаю.
У меня филиалы друг друга видят. маршруты проходят в обе стороны.
А вот впн клиенты видят только одну сеть - ту куда подключаються.
Остальные сети не видят.
В маршрутах у них прописывается все сети.
Попробую конечно сегодня ночью прописать в NATе маршрут.
Тогда и отпишусь.

pigbrother

This post is deleted!

Konstanti

@nintendoos Блин ,
филиалы друг друга видят , потому что маршруты прописаны ручками из филиала А к филиалу Б .
А тут появляется сеть С , про которую знает только филиал А . Он-то , со своей стороны, отправит пакет от C в направлении филиала Б . А как пакет обратно вернется , если Б ничего не знает про С ?

Запустите tcpdump в разных точках и посмотрите за движением пакета от С к Б и обратно.

nintendoos

@pigbrother
Пробовал и так делать.
В конечном итоге затык все равно с клиентами которые подключаются с домашних или выданных ноутбуков.
Проверял даже на домашнем ноуте. где моя под сеть это 192.16.16.0/24

nintendoos

@Konstanti
Спасибо!
Сейчас посмотрю.
Что-то я это вообще из виду упустил.

nintendoos

Добрый вечер!

Всем огромное спасибо за наводки.
Не уверен, что это абсолютно верное решение.
Но решил таким способом.
Добавил в каждом филиале
В раздел Advanced Cofiguration
Costom options
добавил строчку
route 10.10.64.0 255.255.255.0 - это сеть OpenVPN для клиентов которые подключаються с выданных ноутов.

Всем еще раз Огромное спасибо за советы и направления!

С Уважением.

werter

@nintendoos said in OpenVPN Клиент Сервер при сети из нескольких филиалов:

Custom options
route 192.168.4.0 255.255.255.0;
route 192.168.5.0 255.255.255.0;
route 192.168.6.0 255.255.255.0;

Не надо на клиентах так. Запутаетесь. Пушите маршруты клиентам на сервере. Там пункт remote networks для этого существует.

Еще. Вы выбрали алгоритм AES без GCM. И при этом вкл. аппаратное шифрование. Делов так не будет. Выбирайте и на сервере и на клиентах алгортим с GCM в название. Иначе профита от вкл. аппаратного шифрования не получите.

pigbrother

@werter said in OpenVPN Клиент Сервер при сети из нескольких филиалов:

Пушите маршруты клиентам на сервере

Не сильно уверен (давно отказался), но вроде как push route для PSK не работает.

werter

@pigbrother

Настройки OpenVPN сервера на любом филиале.
Server Mode: Remote Access (SSL/TLS)

?

pigbrother

@werter
Отвечал на этот пост
https://forum.netgate.com/topic/147028/%D0%B4%D0%B2%D0%B0-%D0%BF%D1%80%D0%BE%D0%B2%D0%B0%D0%B9%D0%B4%D0%B5%D1%80%D0%B0-%D0%B8-openvpn-%D0%BA%D0%BB%D0%B8%D0%B5%D0%BD%D1%82/81

где вы пишете

@werter said in Два провайдера и openvpn клиент:

Создаем и настраиваем P2P Shared key Openvpn серверы и клиенты

Как оно попало в этот топик - не знаю