Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Связь между 2 Pfsense которые выступают клиентами openvpn server

    Scheduled Pinned Locked Moved Russian
    22 Posts 4 Posters 1.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • R
      rubic @invisible
      last edited by

      @invisible Inter-client communication в Tunnel Settings в настройках OpenVPN сервера

      I P 2 Replies Last reply Reply Quote 0
      • I
        invisible @rubic
        last edited by

        @rubic
        Где можно про это почитать ,чтоб было доступно написано для новичка

        1 Reply Last reply Reply Quote 0
        • P
          pigbrother @rubic
          last edited by pigbrother

          @rubic said in Связь между 2 Pfsense которые выступают клиентами openvpn server:

          Inter-client communication в Tunnel Settings в настройках OpenVPN сервера

          Это, по идее, для возможности связи между клиентами Remote Access.

          @invisible, смущает отсутствие директив route\push route в конфиге сервера.

          Есть ли связь между сетью за севером и 192168.0.0 /24
          и сетью за севером и 192168.1.0 /24

          10.120.210.0 - это сеть туннелей? Какова адресация LAN за сервером?

          Приведите скриншоты настроек сервера и клиентов pfSense.
          Заодно - адресацию сетей за всеми pfSense.

          @invisible said in Связь между 2 Pfsense которые выступают клиентами openvpn server:

          push "redirect-gateway def1 bypass-dhcp"

          Вам действительно нужно выпускать клиентов в интернет через головной офис?

          @invisible said in Связь между 2 Pfsense которые выступают клиентами openvpn server:

          Где можно про это почитать ,чтоб было доступно написано для новичка

          Не совсем про это, но каноническая инструкция уважаемого @rubic :
          https://forum.netgate.com/topic/53251/openvpn-pki-site-to-site-%D0%B8%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BA%D1%86%D0%B8%D1%8F-%D0%B4%D0%BB%D1%8F-%D0%BE%D0%B1%D1%81%D1%83%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D1%8F?page=1

          I 1 Reply Last reply Reply Quote 0
          • I
            invisible @pigbrother
            last edited by

            @pigbrother
            Что то я запутался , мой чертеж составлен не правильно , вроде все расписал как в данный момент настроено, может какой то инфы нет ?

            ||port 443
            proto tcp
            dev tun
            user nobody
            group nogroup
            persist-key
            persist-tun
            keepalive 10 120
            topology subnet
            client-to-client
            server 10.120.210.0 255.255.255.0
            route 192.168.0.0 255.255.255.0 # Офис№1
            route 192.168.1.0 255.255.255.0 # Офис№2
            ifconfig-pool-persist ipp.txt
            push "dhcp-option DNS 91.232.132.10"
            push "dhcp-option DNS 91.232.132.11"
            push "redirect-gateway def1 bypass-dhcp"
            push "route 10.120.210.0 255.255.255.0" # Подсеть нашего VPN сервера
            push "route 192.168.0.0 255.255.255.0" # Подсеть нашего Офиса№1
            push "route 192.168.1.0 255.255.255.0" # Подсеть нашего Офиса№2
            dh none
            ecdh-curve prime256v1
            tls-crypt tls-crypt.key
            crl-verify crl.pem
            ca ca.crt
            cert server_HhlSBVCfJQMbkmhG.crt
            key server_HhlSBVCfJQMbkmhG.key
            auth SHA512
            cipher AES-256-GCM
            ncp-ciphers AES-256-GCM
            tls-server
            tls-version-min 1.2
            tls-cipher TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384
            client-config-dir /etc/openvpn/ccd
            log /dev/null
            status /dev/null
            log-append /dev/null
            verb 0||
            Вот конфиг сервера

            вот скрин pfsense клиента
            Opera Снимок_2020-11-16_172338_192.168.0.1.png

            1 Reply Last reply Reply Quote 0
            • P
              pigbrother
              last edited by

              @invisible said in Связь между 2 Pfsense которые выступают клиентами openvpn server:

              push "redirect-gateway def1 bypass-dhcp"

              1. Адресация сети за сервером OVPN?
              2. Скриншот настроек сервера?
              3. push "redirect-gateway def1 bypass-dhcp". Может мешать. Вы уверены что эта директива вам необходима?

              @invisible said in Связь между 2 Pfsense которые выступают клиентами openvpn server:

              port 443

              А в настройках клиента - Server port =53
              Как так?

              I 1 Reply Last reply Reply Quote 0
              • I
                invisible @pigbrother
                last edited by invisible

                push "redirect-gateway def1 bypass-dhcp эту опцию отключил , с портами ошибся когда сервер конфиг брал на сервер несколько портов открыто, использую 53 порт ,не понял эти 2 пункта

                Адресация сети за сервером OVPN? можно подробней
                Скриншот настроек сервера? каких именно настроек? Сервер поднят на vps

                P 1 Reply Last reply Reply Quote 0
                • P
                  pigbrother @invisible
                  last edited by pigbrother

                  @invisible
                  Фактически доступ между сетями 192168.0.0 /24 и 192168.1.0 /24 возможен через Open VPN сервер.
                  Для этого PF-клиенту 192168.0.0 /24 надо указать маршрут в 192168.1.0 /24 а PF-клиенту 192168.0.1 /24 - в 192168.0.0 /24.

                  Попробуйте добавить их в
                  IPv4 Remote network(s)
                  Взаимно на обоих клиентах.

                  @invisible said in Связь между 2 Pfsense которые выступают клиентами openvpn server:

                  не понял эти 2 пункта

                  @invisible said in Связь между 2 Pfsense которые выступают клиентами openvpn server:

                  Сервер поднят на vps

                  Это из ваших постов было неясно.
                  Вопросы адресации и сети за сервером OVPN и и скриншота отпадают.

                  I 1 Reply Last reply Reply Quote 0
                  • I
                    invisible @pigbrother
                    last edited by

                    @pigbrother
                    Конфигурация опен впн сервера у меня правильная?

                    port 53
proto udp
dev tun
user nobody
group nogroup
persist-key
persist-tun
keepalive 10 120
topology subnet
client-to-client
server 10.120.210.0 255.255.255.0
route 192.168.0.0 255.255.255.0 # Офис№1
route 192.168.1.0 255.255.255.0 # Офис№2
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 77.88.8.8"
push "dhcp-option DNS 77.88.8.1"
push "route 10.120.210.0 255.255.255.0" # Подсеть нашего VPN сервера
push "route 192.168.0.0 255.255.255.0" # Подсеть нашего Офиса№1
push "route 192.168.1.0 255.255.255.0" # Подсеть нашего Офиса№2
dh none
ecdh-curve prime256v1
tls-crypt tls-crypt.key
crl-verify crl.pem
ca ca.crt
cert server_HhlSBVCfJQMbkmhG.crt
key server_HhlSBVCfJQMbkmhG.key
auth SHA512
cipher AES-256-GCM
ncp-ciphers AES-256-GCM
tls-server
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384
client-config-dir /etc/openvpn/ccd
log /dev/null
status /dev/null
log-append /dev/null
verb 0

                    или еще ,что но нужно сделать?

                    P 1 Reply Last reply Reply Quote 0
                    • P
                      pigbrother @invisible
                      last edited by

                      @invisible said in Связь между 2 Pfsense которые выступают клиентами openvpn server:

                      Конфигурация опен впн сервера у меня правильная?

                      На первый взгляд - да.
                      Неясна, правда, необходимость в
                      ifconfig-pool-persist ipp.txt

                      и

                      push "dhcp-option DNS 77.88.8.8"
                      push "dhcp-option DNS 77.88.8.1"

                      По идее, push "dhcp-option DNS, как и и push "redirect-gateway def1
                      нужны только для выхода в интернет через IP VPS.

                      Еще момент. Без директив iroute на стороне сервера это работать не будет. В pfSense\FreeBSD iroute указывается в Client Specific Overrides, в иных ОС - похоже, в Linux - это ccd (client-config-dir).

                      Вот неплохая статья, там расписано, как :
                      http://linux-bash.ru/mseti/51-openvpn.html
                      Случай, похожий на ваш. У вас все то же, но нет головного офиса.

                      I 1 Reply Last reply Reply Quote 0
                      • I
                        invisible @pigbrother
                        last edited by invisible

                        @pigbrother
                        push "dhcp-option DNS 77.88.8.8"
                        push "dhcp-option DNS 77.88.8.1"

                        По идее, push "dhcp-option DNS, как и и push "redirect-gateway def1
                        нужны только для выхода в интернет через IP VPS.

                        Да я использую ip vps для выхода в интернет, потому что живу в стране в которой многое заблокировано (ютуб, фуйсбук итд) , это не будет же мешать ??? Соответственно если я убираю эти опции push "dhcp-option DNS, как и и push "redirect-gateway def1 инет не работает так как опенвпн это гетвей по умолчанию

                        P 1 Reply Last reply Reply Quote 0
                        • P
                          pigbrother @invisible
                          last edited by pigbrother

                          @invisible said in Связь между 2 Pfsense которые выступают клиентами openvpn server:

                          @pigbrother
                          push "dhcp-option DNS 77.88.8.8"
                          push "dhcp-option DNS 77.88.8.1"

                          По идее, push "dhcp-option DNS, как и и push "redirect-gateway def1
                          нужны только для выхода в интернет через IP VPS.

                          Да я использую ip vps для выхода в интернет, потому что живу в стране в которой многое заблокировано (ютуб, фуйсбук итд) , это не будет же мешать ??? Соответственно если я убираю эти опции push "dhcp-option DNS, как и и push "redirect-gateway def1 инет не работает так как опенвпн это гетвей по умолчанию

                          По идее - мешать не должно. Но связь между офисами\клиентами попробуйте сначала настраивать без push "redirect-gateway def1
                          По поводу iroute прочитали?

                          Чтоб было понятнее.
                          route 192.168.0.0 255.255.255.0 говорит серверу, что нужен маршрут в 192.168.0.0 255.255.255.0
                          iroute 192.168.0.0 255.255.255.0 конкретизирует в ccd (client-config-dir) для какого клиента (с каким common name) этот маршрут в 192.168.0.0 255.255.255.0 будет сервером использоваться.

                          I 1 Reply Last reply Reply Quote 0
                          • I
                            invisible @pigbrother
                            last edited by

                            По поводу iroute прочитали?
                            Да в папке client-config-dir /etc/openvpn/ccd
                            создал 2 файла
                            с параметрами у одного iroute 192.168.0.0 255.255.255.0
                            и у другого iroute 192.168.1.0 255.255.255.0, хочу сначала на виндовс проверить , если все заведется потом на pfsense. Просто я один а офиса 2 , нужно ехать в один офис там делать потом во второй , помощника нет плохо очень, трудно найти единомышленника

                            P 1 Reply Last reply Reply Quote 0
                            • P
                              pigbrother @invisible
                              last edited by

                              @invisible said in Связь между 2 Pfsense которые выступают клиентами openvpn server:

                              Просто я один а офиса 2 , нужно ехать в один офис там делать потом во второй , помощника нет плохо очень, трудно найти единомышленника

                              А что вы хотите в офисах делать? Проверять доступность?

                              I 1 Reply Last reply Reply Quote 0
                              • I
                                invisible @pigbrother
                                last edited by

                                @pigbrother
                                Планируется сделать доступ для удаленного офиса на наш локальный сервер, да еще много чего

                                P 1 Reply Last reply Reply Quote 0
                                • P
                                  pigbrother @invisible
                                  last edited by

                                  @invisible said in Связь между 2 Pfsense которые выступают клиентами openvpn server:

                                  еще много чего

                                  Отпишитесь.

                                  I 1 Reply Last reply Reply Quote 0
                                  • I
                                    invisible @pigbrother
                                    last edited by

                                    @pigbrother said in Связь между 2 Pfsense которые выступают клиентами openvpn server:

                                    @invisible said in Связь между 2 Pfsense которые выступают клиентами openvpn server:

                                    еще много чего

                                    Отпишитесь.
                                    Запуск программы IŞ ÇOMEKÇI сети торговых точек , телефония

                                    1 Reply Last reply Reply Quote 0
                                    • First post
                                      Last post
                                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.