Связь между OpenVPN сетями Peer-to-Peer и Remote Access

pigbrother

@MythOfTheLight said in Связь между OpenVPN сетями Peer-to-Peer и Remote Access:

Force all client-generated IPv4 traffic through the tunnel

Это, IMHO, лишнее.

А если "Client specific override" мобильных клиентов указать нужные подсети?

MythOfTheLight

@pigbrother said in Связь между OpenVPN сетями Peer-to-Peer и Remote Access:

@MythOfTheLight said in Связь между OpenVPN сетями Peer-to-Peer и Remote Access:

Force all client-generated IPv4 traffic through the tunnel

Это, IMHO, лишнее.

А если "Client specific override" мобильных клиентов указать нужные подсети?

"Force all client-generated IPv4 traffic through the tunnel" используется для доступа с мобильных телефонов и планшетов к удалённым серверам где разграничение по IP адресу, это служебный момент ))

а по пункту "Client specific override" собственно и встал вопрос, как и что прописать в данном случае? Клиенты авторизуются по сертификатам, но какие параметры указать я не понимаю.

werter

@MythOfTheLight

не имея доступ к остальным сетям (между собой связываются)

Выдавать подключающимся роуты в нужные вам сети. Если не заработает для вашей схемы с p2p автоматом, то выгрузить конфиг клиента себе, добавить директиву(-ы) "route 192.168.x.0 255.y.y.y" руками в конфиг и загрузить конфиг в телефон\ноут etc.

а по пункту "Client specific override" собственно и встал вопрос, как и что прописать в данном случае? Клиенты авторизуются по сертификатам, но какие параметры указать я не понимаю.

Это пункт необходим для доступа из сети пф-а в сеть(и) ЗА клиентами. Не думаю, что это то, что вам надо.

MythOfTheLight

@werter said in Связь между OpenVPN сетями Peer-to-Peer и Remote Access:

@MythOfTheLight

не имея доступ к остальным сетям (между собой связываются)

Выдавать подключающимся роуты в нужные вам сети. Если не заработает для вашей схемы с p2p автоматом, то выгрузить конфиг клиента себе, добавить директиву(-ы) "route 192.168.x.0 255.y.y.y" руками в конфиг и загрузить конфиг в телефон\ноут etc.

а по пункту "Client specific override" собственно и встал вопрос, как и что прописать в данном случае? Клиенты авторизуются по сертификатам, но какие параметры указать я не понимаю.

Это пункт необходим для доступа из сети пф-а в сеть(и) ЗА клиентами. Не думаю, что это то, что вам надо.

В файле конфигурации (со стороны клиента) прописываю
push "route 192.168.25.0 255.255.255.0"
Или просто route 192.168.25.0 255.255.255.0?
в случае с push в win CMD команда route print выдаёт что подсеть 192.168.25.0 255.255.255.0 через 10.20.10.2 но пинг в неё не идёт всё-равно

MythOfTheLight

С клиента получившего адрес 10.20.10.2 я пингую шлюз 10.20.10.1 без проблем, так же пингуется и шлюз основной VPN сети 10.10.10.1, но её клиенты 10.10.10.2-3-4-5 не пингуются

werter

В файле конфигурации (со стороны клиента) прописываю

Подскажу: директива push сугубо серверной части. В гугл по фразе 'OpenVPN man'

Правила fw на ЛАН, ВПН покажите.

MythOfTheLight

@werter said in Связь между OpenVPN сетями Peer-to-Peer и Remote Access:

OpenVPN man

С командами не знаком, с pfSense и темболее OpenVPN работаю сравнительно недавно.
в файрволе всех pfSense что в LAN что в OpenVPN правило пропускать весь трафик на всех протоколах - IPv4+6 * * * * * *

werter

С командами не знаком

Прийдется познакомиться. Помог, чем смог. След. шаг - сделать все за вас. Делать этого я точно не буду.

Подскажу: директива push сугубо серверной части

MythOfTheLight

@werter тогда могли бы и не отвечать.
Я 2 месяца мучался с Точка-Точка из за того что никто не мог подсказать прописать в "Client specific override" iroute после чего всё заработало. А в инструкциях на просторах этого тупо не было. Вот так и живём. Есть 2 VPN сети, которые друг-друга не видят, потому что написать инструкцию с нуля не пропустив "очевидных" (очевидных только для пишущего инструкцию, не читающего) всем "писателям """гайдов"""" не позволительно.

pigbrother

@MythOfTheLight said in Связь между OpenVPN сетями Peer-to-Peer и Remote Access:

потому что написать инструкцию с нуля не пропустив "очевидных" (очевидных только для пишущего инструкцию, не читающего) всем "писателям """гайдов"""" не позволительно.

Два канонических мануала от пользователя @rubic. Именно с них для многих началось знакомство с OpenVPN.
https://forum.netgate.com/topic/53251/openvpn-pki-site-to-site-%D0%B8%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BA%D1%86%D0%B8%D1%8F-%D0%B4%D0%BB%D1%8F-%D0%BE%D0%B1%D1%81%D1%83%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D1%8F?page=1

https://forum.netgate.com/topic/53022/openvpn-psk-site-to-site-%D0%B8%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BA%D1%86%D0%B8%D1%8F-%D0%B4%D0%BB%D1%8F-%D0%BE%D0%B1%D1%81%D1%83%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D1%8F?page=1

На сервере, к которому подключаются мобильные клиенты в поле IPv4 Local network(s) внесите все сети, которые должны быть доступны клиенту в виде
a.a.a.a/24,b.b.b.b/24,x.x.x.x/24

Ну и клиентам Peer-to-Peer SSL/TLS надо сообщить, что существует сеть Remote Access 10.20.10.0/24

werter

@MythOfTheLight

Я 2 месяца мучался с Точка-Точка из за того что никто не мог подсказать прописать в "Client specific override" iroute после чего всё заработало.

https://docs.netgate.com/pfsense/en/latest/vpn/openvpn/configuring-a-site-to-site-pki-ssl-openvpn-instance.html

On pfSense software version 2.2, use the IPv4 Remote Network/s here on the Client Specific Override to add iroute networks.

On older versions of pfSense software, in the custom options/advanced box, add an iroute statement for the client network

Вы 2 месяца потратили впустую вместо того, чтобы открыть ОФИЦИАЛЬНЫЙ док и настроить по нему. С чем и поздравляю.

MythOfTheLight

@pigbrother
баааалиииин.... Вот именно, я не выполнил пункт "Ну и клиентам Peer-to-Peer SSL/TLS надо сообщить, что существует сеть Remote Access 10.20.10.0/24"
Добавил, рестартанул, всё работает.....

По этим гайдам и делал, сейчас смотрю - в них правки, добавлен пункт "iroute" когда я сети поднимал в том ещё аж в 2018 году, этого пункта не было, пропустили вдиать.

pigbrother

@MythOfTheLight said in Связь между OpenVPN сетями Peer-to-Peer и Remote Access:

По этим гайдам и делал, сейчас смотрю - в них правки, добавлен пункт "iroute"

Странно, если вы о тех гайдах, ссылки на которые я приводил, iroute там было с момента публикации еще на старом форуме.. Возможно вы путаете с OpenVPN PSK: Site-to-Site - там iroute просто не нужен.

@MythOfTheLight said in Связь между OpenVPN сетями Peer-to-Peer и Remote Access:

Ну и клиентам Peer-to-Peer SSL/TLS надо сообщить, что существует сеть Remote Access 10.20.10.0/24"
Добавил, рестартанул, всё работает.....

Забыть об обратном маршруте - частая ошибка.