pfsense и Keenetic Extra site-to-site OpenVPN

werter

На сервере в Advanced Configuration->Custom options добавил

А там Remote networks нет для этого? Чтобы в Адвансед не лезть. Не помню есть оно в P2P.

route 10.168.1.0

тогда уж route X.X.X.X Y.Y.Y.Y;
где Y.Y.Y.Y - маска подсети удален. клиента.

И я бы еще разреш. правило fw на ЛАН на сервере добавил, где в Dst будет удален. сеть клиента. И поставил бы это правило выше всех.

werter

@dTinside
Для вашего Кинетика должен быть Padavan, к-ый гораздо интереснее, чем родная прошивка. Поищите на 4pda.

pigbrother

@werter said in pfsense и Keenetic Extra site-to-site OpenVPN:

А там Remote networks нет для этого?

В Remote Access сервере нет этого поля, поэтому и использовал Advanced.

@werter said in pfsense и Keenetic Extra site-to-site OpenVPN:

тогда уж route X.X.X.X Y.Y.Y.Y;

Естественно. Недоскопировал и недовставил.

werter

@dTinside

В Remote Access сервере нет этого поля, поэтому и использовал Advanced.

Да? А у ТС-а этот пункт имеется ) В 1-м сообщении есть:

IPv4 Remote Network: 192.168.1.0/24

werter

@dTinside

IPv4 Local Network: 10.10.66.0/24, 192.168.1.0/24
IPv4 Remote Network: 192.168.1.0/24

А чего это у вас 192.168.1.0/24 в обоих пунктах-то? Это неправильно.

pigbrother

@werter said in pfsense и Keenetic Extra site-to-site OpenVPN:

Да? А у ТС-а этот пункт имеется ) В 1-м сообщении есть:

IPv4 Remote Network: 192.168.1.0/24

Цитируемые вами настройки ТС - это Site-to-site (P2P SSL/TLS).
В настройках Remote Access сервера поля для Remote networks нет.

werter

@pigbrother
Вы правы.

@dTinside
Разберитесь с конфигом ОВПН на сервере.

dTinside

This post is deleted!

dTinside

@werter @pigbrother

Огромное спасибо! Выполнил все ваши рекомендации, сдвинулся с места.

Теперь в журнале Keenetic вижу это

Мар 21 06:49:16 OpenVPN0
TLS Error: Unroutable control packet received from [AF_INET]101.X.X.X:1199 (si=3 op=P_CONTROL_V1)
Мар 21 06:49:16 OpenVPN0
OpenSSL: error:1416F086:lib(20):func(367):reason(134)
Мар 21 06:49:16 OpenVPN0
TLS_ERROR: BIO read tls_read_plaintext error
Мар 21 06:49:16 OpenVPN0
TLS Error: TLS object -> incoming plaintext read error
Мар 21 06:49:16 OpenVPN0
TLS Error: TLS handshake failed
Мар 21 06:49:16 OpenVPN0
SIGTERM[soft,tls-error] received, process exiting
Мар 21 06:49:16 ndm
Service: "OpenVPN0": unexpectedly stopped.
Мар 21 06:49:19 OpenVPN0
OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
Мар 21 06:49:19 OpenVPN0
library versions: OpenSSL 1.1.1d 10 Sep 2019, LZO 2.10
Мар 21 06:49:19 OpenVPN0
UDP link local (bound): [AF_INET][undef]:1199
Мар 21 06:49:19 OpenVPN0
UDP link remote: [AF_INET]101.X.X.X:1199
Мар 21 06:49:19 OpenVPN0
NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Мар 21 06:49:20 OpenVPN0
TLS Error: Unroutable control packet received from [AF_INET]101.X.X.X:1199 (si=3 op=P_ACK_V1)
Мар 21 06:49:21 OpenVPN0
TLS Error: Unroutable control packet received from [AF_INET]101.X.X.X:1199 (si=3 op=P_CONTROL_V1)
Мар 21 06:49:21 OpenVPN0
TLS Error: Unroutable control packet received from [AF_INET]101.X.X.X:1199 (si=3 op=P_CONTROL_V1)
Мар 21 06:49:21 OpenVPN0
TLS Error: Unroutable control packet received from [AF_INET]101.X.X.X:1199 (si=3 op=P_ACK_V1)
Мар 21 06:49:25 OpenVPN0
TLS Error: Unroutable control packet received from [AF_INET]101.X.X.X:1199 (si=3 op=P_CONTROL_V1)
Мар 21 06:49:25 OpenVPN0
TLS Error: Unroutable control packet received from [AF_INET]101.X.X.X:1199 (si=3 op=P_ACK_V1)
Мар 21 06:49:29 OpenVPN0
TLS Error: Unroutable control packet received from [AF_INET]101.X.X.X:1199 (si=3 op=P_CONTROL_V1)
Мар 21 06:49:34 OpenVPN0
TLS Error: Unroutable control packet received from [AF_INET]101.X.X.X:1199 (si=3 op=P_CONTROL_V1)
Мар 21 06:49:34 OpenVPN0
TLS Error: Unroutable control packet received from [AF_INET]101.X.X.X:1199 (si=3 op=P_ACK_V1)
Мар 21 06:49:45 OpenVPN0
TLS Error: Unroutable control packet received from [AF_INET]101.X.X.X:1199 (si=3 op=P_CONTROL_V1)
Мар 21 06:49:49 OpenVPN0
TLS Error: Unroutable control packet received from [AF_INET]101.X.X.X:1199 (si=3 op=P_CONTROL_V1)
Мар 21 06:49:50 OpenVPN0
TLS Error: Unroutable control packet received from [AF_INET]101.X.X.X:1199 (si=3 op=P_ACK_V1)

После очередных мучений я решил зайти с другой стороны.
Не меняя конфигурацию севера, я настроил Site-to-Site с другим pfSense - всё завелось с пол-пинка (и в режиме Shared Key и в P2P SSL/TLS).
То есть причина вот этого непотребства видимо в самом Keenetic.

werter

@dTinside

Для вашего Кинетика должен быть Padavan, к-ый гораздо интереснее, чем родная прошивка. Поищите на 4pda.