PfSense Openvpn типовая задача. помогите настроить.
-
Добрый день.
Дано - сеть 192.168.0.0/24 за pfsense (шлюз по умолчанию) (Lan 192.168.0.253 Wan 192.168.1.251)
за роутером (порт проброшен)
необходимо настроить open vpn для подключенияк машинам локальной сети по RDP
Первоначальные настройки сделаны, сертификаты созданы, туннель работает.
Проблема в том что клиент видит только шлюз, но не сеть за ним.
Настройки (остальное по умолчанию)
Правило в Firewall
Клиент под виндой
Конфиг создан через экспорт
dev tun
persist-tun
persist-key
cipher AES-128-CBC
auth SHA256
tls-client
client
resolv-retry infinite
remote ххх.ххх.pro 1195 udp
verify-x509-name "ххх" name
auth-user-pass
pkcs12 pfSense-UDP4-1195-ххх.p12
tls-auth pfSense-UDP4-1195-ххх-tls.key 1
remote-cert-tls server -
На интерфейсе OpenVPN правило вида
IPv4 * * * * * * none
создано?
-
@eleight
Здр
Так-то , навскидку , таблица маршрутизации верная
Те , если я все верно понял , клиент видит 192.168.10.1 и не видит 192.168.0.0/24 ?
Правила на openvpn интерфейсе проверяли ? Там разрешено прохождение нужного трафика ? -
@konstanti , @pigbrother
С компьютера 192.168.0.169
ping 192.168.0.253 (pfsense) ok
ping 192.168.10.1 (pfsense) ok
ping 192.168.10.2 (клиент оpenvpn)не проходитснаружи
ping 192.168.10.1 (pfsense) ok
ping 192.168.0.253 (pfsense) ok
ping 192.168.0.169 не проходит
при трассировке :
Трассировка маршрута к 192.168.0.169 с максимальным числом прыжков 30
1 20 ms 20 ms 20 ms 192.168.10.1
2 * *
Правила Firewall
для интерфейса WAN
для интерфейса Openvpn
Собственно они есть на скринах в 1 сообщении
больше никаких настроек нет. - только что установленный pfsenseВозможно нужно чтото ещё?
-
@eleight said in PfSense Openvpn типовая задача. помогите настроить.:
192.168.0.169
А что с брандмауэром на 192.168.0.169? Если включен, он блокирует запросы из чужих подсетей.
-
@pigbrother
Смущает , что и в обратную сторону пинг не идет
ping 192.168.10.2 (клиент оpenvpn)не проходит
или
ping 192.168.0.169 не проходитте затыки на конечных точках маршрута
-
@pigbrother отключил, пинги пошли. Бл...
| Если включен, он блокирует запросы из чужих подсетей.
Думал что если со шлюза пинг идёт то брендмауер мешать не будет.
2 дня моск ломал, а про слона забыл. спасибо за участие.
PS. можно как то сказать что это сеть не чужая?
или прописывать правило в каждом брендмауере? -
@eleight said in PfSense Openvpn типовая задача. помогите настроить.:
или прописывать правило в каждом брендмауере?
Либо разрешать чужие сети на каждом сервере, либо отключать брандмауэр.
-
@eleight
Nat outbound на Lan интерфейсе для 192.168.10.0/24 -
@konstanti said in PfSense Openvpn типовая задача. помогите настроить.:
Nat outbound
NAT поможет. Но я сторонник чистой маршрутизации. Nat - тогда, когда другого варианта нет.
-
@pigbrother Согласен. Просто пропишу правило в брендмауере на конечной машине.
Так проще потом понять что я навертел).@konstanti, @pigbrother, огромное спасибо вам.