• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

OpenVPN + Keenetic не видно сеть за клиентом

Russian
open vpn keenetic
5
32
7.2k
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • M
    Mahad @Konstanti
    last edited by Jan 27, 2021, 12:17 PM

    @konstanti

    Как его убрать? Я излазил весь интерфейс - понятия не имею, где он задаётся.

    W K 2 Replies Last reply Jan 27, 2021, 12:19 PM Reply Quote 0
    • W
      werter @Mahad
      last edited by werter Jan 27, 2021, 12:19 PM Jan 27, 2021, 12:19 PM

      @mahad
      В настройках сетевой на пф маску сменить.

      M 1 Reply Last reply Jan 27, 2021, 12:40 PM Reply Quote 1
      • K
        Konstanti @Mahad
        last edited by Konstanti Jan 27, 2021, 12:23 PM Jan 27, 2021, 12:20 PM

        @mahad возможно , что провайдер передаёт Вам этот маршрут при получении ip адреса
        Или в настройках статических маршрутов надо искать

        W 1 Reply Last reply Jan 27, 2021, 12:23 PM Reply Quote 0
        • W
          werter @Konstanti
          last edited by Jan 27, 2021, 12:23 PM

          @konstanti
          Кхм. Это была бы катастрофа. Не думаю, что РТ способен на такое.

          K 1 Reply Last reply Jan 27, 2021, 12:33 PM Reply Quote 0
          • K
            Konstanti @werter
            last edited by Konstanti Jan 27, 2021, 12:37 PM Jan 27, 2021, 12:33 PM

            @werter у этого маршрута нет флага S, значит , он не статический. Надо разбираться откуда он берётся . Проще, по-моему , поменять адресацию удаленной сети , ну, и своей внутренней «до кучи»
            Или пробовать pbr использовать

            1 Reply Last reply Reply Quote 0
            • M
              Mahad @werter
              last edited by Jan 27, 2021, 12:40 PM

              @werter

              Отлично! Поменял маску LAN сети, маршруты на PFSense изменились на:

              Routing tables
              
              Internet:
              Destination        Gateway            Flags       Use    Mtu      Netif Expire
              default            213.59.207.191     UGS    15107874   1480     pppoe0
              1.0.0.1            213.59.207.191     UGHS     112790   1480     pppoe0
              1.1.1.1            213.59.207.191     UGHS     122201   1480     pppoe0
              10.0.0.1           link#1             UHS           0  16384        lo0
              10.0.0.1/32        link#1             U             0   1500       vmx0
              10.0.8.0/24        10.0.8.2           UGS           0   1500     ovpns1
              10.0.8.1           link#10            UHS           0  16384        lo0
              10.0.8.2           link#10            UH            0   1500     ovpns1
              127.0.0.1          link#4             UH     79873291  16384        lo0
              192.168.1.0/24     link#1             U        133844   1500       vmx0
              192.168.1.1        link#1             UHS           0  16384        lo0
              192.168.171.0/24   10.0.8.2           UGS          31   1500     ovpns1
              213.59.207.191     link#9             UH       104513   1480     pppoe0
              213.140.228.30     213.59.207.191     UGHS        531   1480     pppoe0
              213.140.228.190    213.59.207.191     UGHS        560   1480     pppoe0
              

              Теперь захват пакетов показывает, что пинги уходят через OpenVPN интерфейс, но на кинетике захват пакетов показывает, что к нему по подсети 171.0/24 ICMP пакеты не приходят ни на OpenVPN интерфейс, ни в другое место.

              W 1 Reply Last reply Jan 27, 2021, 12:41 PM Reply Quote 0
              • W
                werter @Mahad
                last edited by werter Jan 27, 2021, 12:42 PM Jan 27, 2021, 12:41 PM

                @mahad
                Правила fw на ЛАН,ВАН, ОВПН покажите.

                Зы. И меняйте адресацию в сети. Чтобы не было проблем в ближайшем будущем.

                W 1 Reply Last reply Jan 27, 2021, 12:45 PM Reply Quote 0
                • W
                  werter @werter
                  last edited by Jan 27, 2021, 12:45 PM

                  @werter

                  Поменял маску LAN сети, маршруты на PFSense изменились на:

                  Перезагружайте пф. Для чистоты.

                  W 1 Reply Last reply Jan 27, 2021, 12:47 PM Reply Quote 0
                  • W
                    werter @werter
                    last edited by werter Jan 27, 2021, 12:48 PM Jan 27, 2021, 12:47 PM

                    @mahad

                    Теперь захват пакетов показывает, что пинги уходят через OpenVPN интерфейс, но на кинетике захват пакетов показывает,

                    fw НА зюхеле крутите - разрешите доступ из 192.168.1.0 в 192.168.171.0 на овпн.

                    M 1 Reply Last reply Jan 27, 2021, 12:58 PM Reply Quote 0
                    • M
                      Mahad @werter
                      last edited by Mahad Jan 27, 2021, 1:00 PM Jan 27, 2021, 12:58 PM

                      @werter

                      Перегрузил
                      pfctl -sn показывает:

                      Антиспам защита не даёт запостить весь вывод. Вот часть

                      no nat proto carp all
                      nat-anchor "natearly/*" all
                      nat-anchor "natrules/*" all
                      nat on pppoe0 inet from <tonatsubnets> to any port = isakmp -> мой внешний IP static-port
                      nat on pppoe0 inet6 from <tonatsubnets> to any port = isakmp -> (pppoe0) round-robin static-port
                      nat on pppoe0 inet from <tonatsubnets> to any -> мой внешний IP port 1024:65535
                      nat on pppoe0 inet6 from <tonatsubnets> to any -> (pppoe0) port 1024:65535 round-robin
                      no rdr proto carp all
                      rdr on pppoe0 inet proto tcp from any to any port = https -> 192.168.1.231
                      rdr pass on vmx0 inet proto tcp from any to 10.0.0.1 port = http -> 127.0.0.1 port 8081
                      rdr pass on l2tp inet proto tcp from any to 10.0.0.1 port = http -> 127.0.0.1 port 8081
                      rdr pass on openvpn inet proto tcp from any to 10.0.0.1 port = http -> 127.0.0.1 port 8081
                      rdr pass on vmx0 inet proto tcp from any to 10.0.0.1 port = https -> 127.0.0.1 port 8443
                      rdr pass on l2tp inet proto tcp from any to 10.0.0.1 port = https -> 127.0.0.1 port 8443
                      rdr pass on openvpn inet proto tcp from any to 10.0.0.1 port = https -> 127.0.0.1 port 8443
                      rdr-anchor "miniupnpd" all
                      

                      Подсетку 192.168.1.0 поменяю как всё доделаю, там надо как-то с умом подходить, а сейчас времени нет.

                      W 1 Reply Last reply Jan 27, 2021, 1:00 PM Reply Quote 0
                      • W
                        werter @Mahad
                        last edited by werter Jan 27, 2021, 1:02 PM Jan 27, 2021, 1:00 PM

                        @mahad

                        fw НА зюхеле крутите - разрешите доступ из 192.168.1.0 в 192.168.171.0 на овпн.

                        Трейсроут из сети пф в сеть кинетика пустите и смотрите где затыкается.

                        СКРИНОМ правила fw пф на ЛАН,ВАН, ОВПН покажите.

                        M 1 Reply Last reply Jan 27, 2021, 1:03 PM Reply Quote 0
                        • M
                          Mahad @werter
                          last edited by Jan 27, 2021, 1:03 PM

                          @werter ![Keenetic-1.jpg]
                          На кинетике вообще всё разрешил
                          🔒 Log in to view
                          🔒 Log in to view

                          Tracert с клиента PFSense затыкается на первом же шаге после шлюза.

                          W 1 Reply Last reply Jan 27, 2021, 1:05 PM Reply Quote 0
                          • W
                            werter @Mahad
                            last edited by Jan 27, 2021, 1:05 PM

                            @mahad

                            Tracert с клиента PFSense затыкается на первом же шаге после шлюза.

                            ПОКАЖИТЕ листинг.

                            M 1 Reply Last reply Jan 27, 2021, 1:09 PM Reply Quote 0
                            • M
                              Mahad @werter
                              last edited by Jan 27, 2021, 1:09 PM

                              @werter
                              Вот:

                              🔒 Log in to view

                              🔒 Log in to view

                              🔒 Log in to view

                              🔒 Log in to view

                              🔒 Log in to view

                              Вот листинг

                              1  * * *
                               2  * * *
                               3  * * *
                               4  * * *
                               5  * * *
                               6  * * *
                               7  * * *
                               8  * * *
                               9  * * *
                              10  * * *
                              11  * * *
                              12  * * *
                              13  * * *
                              14  * * *
                              15  * * *
                              16  * * *
                              17  * * *
                              18  * * *
                              
                              W 1 Reply Last reply Jan 27, 2021, 1:14 PM Reply Quote 0
                              • W
                                werter @Mahad
                                last edited by werter Jan 27, 2021, 1:17 PM Jan 27, 2021, 1:14 PM

                                @mahad

                                1. В листинге ничего кроме "звездочек" ( Или это только у меня ?
                                2. Во флоатинг 1-е СНИЗУ - откл. НЕ ТРОГАЙТЕ флоатинг вообще.
                                3. В ЛАНе 2-е СВЕРХУ - неправильно.
                                M 1 Reply Last reply Jan 27, 2021, 6:26 PM Reply Quote 0
                                • M
                                  Mahad @werter
                                  last edited by Jan 27, 2021, 6:26 PM

                                  @werter
                                  Спасибо большое за помощь!
                                  Наслаждаюсь результатом.

                                  Для тех, кто столкнётся с подобной проблемой - надо прописывать Outbound NAT с локальной сети на удалённую на интерфейсе OpenVPN.

                                  W 1 Reply Last reply Jan 28, 2021, 11:40 AM Reply Quote 0
                                  • W
                                    werter @Mahad
                                    last edited by werter Jan 28, 2021, 11:55 AM Jan 28, 2021, 11:40 AM

                                    @mahad
                                    Пожалуйста )

                                    Для тех кто столкнется.
                                    Есть пф и Zyxel Keenetic. Задача связать их по openvpn. Связали по паролю.
                                    Все маршруты есть как на пф так и на кинетике. В правилах разрешено всё всем на обеих сторонах.
                                    Трафик из сети за кинетиком в сеть за пф бегает, наоборот - нет. Со стороны пф доходит только до зюхеля. Причем ЛОКАЛЬНЫЙ адрес (не впн-адрес) зюхеля из сети пф доступен.

                                    Решение:
                                    На пф NAT переключили в режим Hybrid и добавили правило src - локальная сеть, dst - сеть зюхеля, nat - interface address.
                                    Из минусов, все пакеты из сети за пф будут иметь на зюхеле один и тот же ip-адрес - адрес конца впн-туннеля пф-а.

                                    Прим. Для связи двух пф ТАКОГО "финта" не требуется.

                                    Зы. Просьба выложить скрин NAT -> Outbound для наглядности.

                                    P 2 Replies Last reply Jan 28, 2021, 4:08 PM Reply Quote 0
                                    • P
                                      pigbrother @werter
                                      last edited by pigbrother Jan 28, 2021, 4:08 PM Jan 28, 2021, 4:08 PM

                                      @werter Особенности Zyxel, наверное.
                                      Настраивал site-to-site на Asus с Merlin, на Padavan - нигде с NAT Outbound ничего делать не надо было.
                                      Asus с Merlin кстати, подключал к серверу pf в режиме Remote Access, нужно в Advanced Configuration добавить route в удаленную сеть ( в режиме Remote Access нет поля IPv4 Remote network)

                                      W 1 Reply Last reply Jan 29, 2021, 6:57 AM Reply Quote 1
                                      • W
                                        werter @pigbrother
                                        last edited by werter Jan 29, 2021, 6:58 AM Jan 29, 2021, 6:57 AM

                                        @pigbrother
                                        Спасибо за отклик.

                                        Посмотрите еще на FreshTomato https://wiki.freshtomato.org/doku.php/hardware_compatibility
                                        Это дальнейшее развитие TomatoUSB.

                                        P 1 Reply Last reply Jan 29, 2021, 9:04 AM Reply Quote 0
                                        • P
                                          pigbrother @werter
                                          last edited by pigbrother Jan 29, 2021, 9:05 AM Jan 29, 2021, 9:04 AM

                                          @werter said in OpenVPN + Keenetic не видно сеть за клиентом:

                                          Это дальнейшее развитие TomatoUSB.

                                          Рад, что проект жив.
                                          Жаль, но устройства с её поддержкой как-то всегда проходили мимо.
                                          Нравится Padavan. Просто, логично. Приведу пример настроек клиента. TCP выбран умышленно, провайдер любит воевать с UDP в мобильном интернете. (Он умеет быть и Open VPN сервером, настроил дома и сервер).

                                          🔒 Log in to view

                                          1 Reply Last reply Reply Quote 0
                                          17 out of 32
                                          • First post
                                            17/32
                                            Last post
                                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.