Связь между 2 Pfsense которые выступают клиентами openvpn server

invisible

Здравствуйте искал много информации как это сделать, к моему случаю это не очень подходит, я новичок только начал все осваивать , не судите за это!!!

Помогите сделать связь между 2 офисами , приложу схему , у нас очень старые технологии интернет у нас адсл ,белых айпи нет а если есть это очень дорого ! Презентация1.jpg
Какие настройки нужно произвести на сервере и какие правила нужно сделать на 2 pfSense,чтоб офисы видели локальные сети друг друга. IPsec у нас заблокирован на уровне протокола как и L2TP и его не получиться использовать. Прошу помогите

werter

Добрый
@invisible
Если на стороне овпн-сервера НЕТ белого ip, то не выйдет.

Как вариант купить дешевый vps, поднять там впн и гонять трафик через нее.

Зы. Переведите адсл-модем в режим бриджа\моста. Пусть пф поднимает линк. Так правильнее.

Зы2. Если оч. надо и это не противоречит вашей политике безопасности, то через сторонний сервис можно организовать. Смотрите в сторону zerotier и аналогичных. Но это будет без пф.

Зы2. В 1000-й раз напоминаю, что НЕ СТОИТ использовать 192.168.0|1.x на работе. Велика вероятность нарваться на ТАКУЮ ЖЕ адресацию в филиале или у удаленных клиентов.

invisible

Openvpn sever имеет белый ай пи , оба офиса сеть делал я не должно быть конфликтом с одинаковыми сетями, Меня интересует именно соединение через Pfsense. Openvpn сервер поднимал сам и доступ к нему есть , сервер конфиг прилагаю
||port 443
proto udp
dev tun
user nobody
group nogroup
persist-key
persist-tun
keepalive 10 120
topology subnet
server 10.120.210.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 77.88.8.8"
push "dhcp-option DNS 77.88.8.1"
push "redirect-gateway def1 bypass-dhcp"
dh none
ecdh-curve prime256v1
tls-crypt tls-crypt.key
crl-verify crl.pem
ca ca.crt
cert server_&&&&&&.crt
key server_&&&&&&.key
auth SHA512
cipher AES-256-GCM
ncp-ciphers AES-256-GCM
scramble obfuscate Astral&Projection
tls-server
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384
client-config-dir /etc/openvpn/ccd
log /dev/null
status /dev/null
log-append /dev/null
verb 0||

werter

@werter said in Связь между 2 Pfsense которые выступают клиентами openvpn server:

Переведите адсл-модем в режим бриджа\моста. Пусть пф поднимает линк. Так правильнее.

Сперва это. Только аккуратно. На время перенастройки пропадет доступ в сеть. Нужен человек на той стороне + anydesk\teamviewer etc.

invisible

@werter
Понял вас буду делать,к сожаление мне некому помогать,все сам должен делать

invisible

Мне начальник не разрешил трогать адсл модемы , я новенький поэтому думаю придется делать так как есть , можем попробовать в такой конфигурации как есть?

rubic

@invisible Inter-client communication в Tunnel Settings в настройках OpenVPN сервера

invisible

@rubic
Где можно про это почитать ,чтоб было доступно написано для новичка

pigbrother

@rubic said in Связь между 2 Pfsense которые выступают клиентами openvpn server:

Inter-client communication в Tunnel Settings в настройках OpenVPN сервера

Это, по идее, для возможности связи между клиентами Remote Access.

@invisible, смущает отсутствие директив route\push route в конфиге сервера.

Есть ли связь между сетью за севером и 192168.0.0 /24
и сетью за севером и 192168.1.0 /24

10.120.210.0 - это сеть туннелей? Какова адресация LAN за сервером?

Приведите скриншоты настроек сервера и клиентов pfSense.
Заодно - адресацию сетей за всеми pfSense.

@invisible said in Связь между 2 Pfsense которые выступают клиентами openvpn server:

push "redirect-gateway def1 bypass-dhcp"

Вам действительно нужно выпускать клиентов в интернет через головной офис?

@invisible said in Связь между 2 Pfsense которые выступают клиентами openvpn server:

Где можно про это почитать ,чтоб было доступно написано для новичка

Не совсем про это, но каноническая инструкция уважаемого @rubic :
https://forum.netgate.com/topic/53251/openvpn-pki-site-to-site-%D0%B8%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BA%D1%86%D0%B8%D1%8F-%D0%B4%D0%BB%D1%8F-%D0%BE%D0%B1%D1%81%D1%83%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D1%8F?page=1

invisible

@pigbrother
Что то я запутался , мой чертеж составлен не правильно , вроде все расписал как в данный момент настроено, может какой то инфы нет ?

||port 443
proto tcp
dev tun
user nobody
group nogroup
persist-key
persist-tun
keepalive 10 120
topology subnet
client-to-client
server 10.120.210.0 255.255.255.0
route 192.168.0.0 255.255.255.0 # Офис№1
route 192.168.1.0 255.255.255.0 # Офис№2
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 91.232.132.10"
push "dhcp-option DNS 91.232.132.11"
push "redirect-gateway def1 bypass-dhcp"
push "route 10.120.210.0 255.255.255.0" # Подсеть нашего VPN сервера
push "route 192.168.0.0 255.255.255.0" # Подсеть нашего Офиса№1
push "route 192.168.1.0 255.255.255.0" # Подсеть нашего Офиса№2
dh none
ecdh-curve prime256v1
tls-crypt tls-crypt.key
crl-verify crl.pem
ca ca.crt
cert server_HhlSBVCfJQMbkmhG.crt
key server_HhlSBVCfJQMbkmhG.key
auth SHA512
cipher AES-256-GCM
ncp-ciphers AES-256-GCM
tls-server
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384
client-config-dir /etc/openvpn/ccd
log /dev/null
status /dev/null
log-append /dev/null
verb 0||
Вот конфиг сервера

вот скрин pfsense клиента
Opera Снимок_2020-11-16_172338_192.168.0.1.png

pigbrother

@invisible said in Связь между 2 Pfsense которые выступают клиентами openvpn server:

push "redirect-gateway def1 bypass-dhcp"

Адресация сети за сервером OVPN?
Скриншот настроек сервера?
push "redirect-gateway def1 bypass-dhcp". Может мешать. Вы уверены что эта директива вам необходима?

@invisible said in Связь между 2 Pfsense которые выступают клиентами openvpn server:

port 443

А в настройках клиента - Server port =53
Как так?

invisible

push "redirect-gateway def1 bypass-dhcp эту опцию отключил , с портами ошибся когда сервер конфиг брал на сервер несколько портов открыто, использую 53 порт ,не понял эти 2 пункта

Адресация сети за сервером OVPN? можно подробней
Скриншот настроек сервера? каких именно настроек? Сервер поднят на vps

pigbrother

@invisible
Фактически доступ между сетями 192168.0.0 /24 и 192168.1.0 /24 возможен через Open VPN сервер.
Для этого PF-клиенту 192168.0.0 /24 надо указать маршрут в 192168.1.0 /24 а PF-клиенту 192168.0.1 /24 - в 192168.0.0 /24.

Попробуйте добавить их в
IPv4 Remote network(s)
Взаимно на обоих клиентах.

@invisible said in Связь между 2 Pfsense которые выступают клиентами openvpn server:

не понял эти 2 пункта

@invisible said in Связь между 2 Pfsense которые выступают клиентами openvpn server:

Сервер поднят на vps

Это из ваших постов было неясно.
Вопросы адресации и сети за сервером OVPN и и скриншота отпадают.

invisible

@pigbrother
Конфигурация опен впн сервера у меня правильная?

port 53
proto udp
dev tun
user nobody
group nogroup
persist-key
persist-tun
keepalive 10 120
topology subnet
client-to-client
server 10.120.210.0 255.255.255.0
route 192.168.0.0 255.255.255.0 # Офис№1
route 192.168.1.0 255.255.255.0 # Офис№2
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 77.88.8.8"
push "dhcp-option DNS 77.88.8.1"
push "route 10.120.210.0 255.255.255.0" # Подсеть нашего VPN сервера
push "route 192.168.0.0 255.255.255.0" # Подсеть нашего Офиса№1
push "route 192.168.1.0 255.255.255.0" # Подсеть нашего Офиса№2
dh none
ecdh-curve prime256v1
tls-crypt tls-crypt.key
crl-verify crl.pem
ca ca.crt
cert server_HhlSBVCfJQMbkmhG.crt
key server_HhlSBVCfJQMbkmhG.key
auth SHA512
cipher AES-256-GCM
ncp-ciphers AES-256-GCM
tls-server
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384
client-config-dir /etc/openvpn/ccd
log /dev/null
status /dev/null
log-append /dev/null
verb 0

или еще ,что но нужно сделать?

pigbrother

@invisible said in Связь между 2 Pfsense которые выступают клиентами openvpn server:

Конфигурация опен впн сервера у меня правильная?

На первый взгляд - да.
Неясна, правда, необходимость в
ifconfig-pool-persist ipp.txt

и

push "dhcp-option DNS 77.88.8.8"
push "dhcp-option DNS 77.88.8.1"

По идее, push "dhcp-option DNS, как и и push "redirect-gateway def1
нужны только для выхода в интернет через IP VPS.

Еще момент. Без директив iroute на стороне сервера это работать не будет. В pfSense\FreeBSD iroute указывается в Client Specific Overrides, в иных ОС - похоже, в Linux - это ccd (client-config-dir).

Вот неплохая статья, там расписано, как :
http://linux-bash.ru/mseti/51-openvpn.html
Случай, похожий на ваш. У вас все то же, но нет головного офиса.

invisible

@pigbrother
push "dhcp-option DNS 77.88.8.8"
push "dhcp-option DNS 77.88.8.1"

По идее, push "dhcp-option DNS, как и и push "redirect-gateway def1
нужны только для выхода в интернет через IP VPS.

Да я использую ip vps для выхода в интернет, потому что живу в стране в которой многое заблокировано (ютуб, фуйсбук итд) , это не будет же мешать ??? Соответственно если я убираю эти опции push "dhcp-option DNS, как и и push "redirect-gateway def1 инет не работает так как опенвпн это гетвей по умолчанию

pigbrother

@invisible said in Связь между 2 Pfsense которые выступают клиентами openvpn server:

@pigbrother
push "dhcp-option DNS 77.88.8.8"
push "dhcp-option DNS 77.88.8.1"

По идее, push "dhcp-option DNS, как и и push "redirect-gateway def1
нужны только для выхода в интернет через IP VPS.

Да я использую ip vps для выхода в интернет, потому что живу в стране в которой многое заблокировано (ютуб, фуйсбук итд) , это не будет же мешать ??? Соответственно если я убираю эти опции push "dhcp-option DNS, как и и push "redirect-gateway def1 инет не работает так как опенвпн это гетвей по умолчанию

По идее - мешать не должно. Но связь между офисами\клиентами попробуйте сначала настраивать без push "redirect-gateway def1
По поводу iroute прочитали?

Чтоб было понятнее.
route 192.168.0.0 255.255.255.0 говорит серверу, что нужен маршрут в 192.168.0.0 255.255.255.0
iroute 192.168.0.0 255.255.255.0 конкретизирует в ccd (client-config-dir) для какого клиента (с каким common name) этот маршрут в 192.168.0.0 255.255.255.0 будет сервером использоваться.

invisible

По поводу iroute прочитали?
Да в папке client-config-dir /etc/openvpn/ccd
создал 2 файла
с параметрами у одного iroute 192.168.0.0 255.255.255.0
и у другого iroute 192.168.1.0 255.255.255.0, хочу сначала на виндовс проверить , если все заведется потом на pfsense. Просто я один а офиса 2 , нужно ехать в один офис там делать потом во второй , помощника нет плохо очень, трудно найти единомышленника

pigbrother

@invisible said in Связь между 2 Pfsense которые выступают клиентами openvpn server:

Просто я один а офиса 2 , нужно ехать в один офис там делать потом во второй , помощника нет плохо очень, трудно найти единомышленника

А что вы хотите в офисах делать? Проверять доступность?

invisible

@pigbrother
Планируется сделать доступ для удаленного офиса на наш локальный сервер, да еще много чего