OPENVPN не видно сеть за клиентом

Mahad

This post is deleted!

atel

Доброго времени суток. Опять вопрос по OpenVPN. Есть роутер pfsense 2.4.5-RELEASE-p1, на нем настроен openvpn. Клиент подключается и получает полный доступ к сети за pfsense и благодаря @pigbrother pfsense получает доступ на внутренний ip клиента. Сейчас появился второй клиент, он находиться в одной частной локальной сети с первым. И получается так, кто первый подключиться тот и получает маршрут и пингуеться по-внутреннему ip. Необходимо чтобы оба клиента пинговались по-внутреннему ip. Подскажите как решить данные задачку?

server config

dev ovpns1
verb 1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp4
cipher AES-256-CBC
auth SHA256
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
client-connect /usr/local/sbin/openvpn.attributes.sh
client-disconnect /usr/local/sbin/openvpn.attributes.sh
local WAN IP
tls-server
server 10.10.10.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc/server1
username-as-common-name
plugin /usr/local/lib/openvpn/plugins/openvpn-plugin-auth-script.so /usr/local/sbin/ovpn_auth_verify_async user 111111111= false server1 1194
tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'VPNServer' 1"
lport 1194
management /var/etc/openvpn/server1.sock unix
push "route 192.168.1.0 255.255.255.0"
client-to-client
ca /var/etc/openvpn/server1.ca 
cert /var/etc/openvpn/server1.cert 
key /var/etc/openvpn/server1.key 
dh /etc/dh-parameters.2048
tls-auth /var/etc/openvpn/server1.tls-auth 0
ncp-disable
compress lz4-v2
persist-remote-ip
float
topology subnet
route 10.0.0.0 255.255.225.0

csc

iroute 10.0.0.0 255.255.255.0

werter

Добрый.

@atel said in OPENVPN не видно сеть за клиентом:

Сейчас появился второй клиент, он находиться в одной частной локальной сети с первым.

У Вас локальная адресация в сетях обоих клиентов совпадает?

Немного др. ситуация, но вдруг натолкнет на мысль https://docs.netgate.com/pfsense/en/latest/recipes/openvpn-nat-subnets-conflict.html

atel

@werter Да, получаеться что совпадает. Спасибо, сейчас ознакомлюсь.

Konstanti

@atel
Здр
А не проще в таком случае уже сделать Site-to-Site соединение ?
Это при условии ,что оба клиента находятся физически в одной сети

luha

@atel Для каждого клиента отдельно создан пользователь ovpn на pf со своим сертификатом или с одного и того-же пакета настроено?

atel

@luha Добрый день. У каждого пользователя свой сертифика и пользователь

atel

@konstanti Добрый день. Если под Site-to-Site вы подразумеваете что соединение между роутерами, это не подходит. т.к клиенты находится на digital ocean и объедены в private network.

Konstanti

@atel
Здр
Да . именно это я и имел в виду .
Это сильно упростило бы решение Вашей проблемы

Иначе , лично я вижу для Вас такие проблемы (для клиентов , находящихся в одной сети ) и при той конфигурации , которая сейчас Вами используется

1. на любом клиенте нужно давать возможность маршрутизировать трафик
2. придется бороться с ассиметричной маршрутизацией

есть еще одно решение

Для каждого клиента делать отд маршрут в таблице маршрутизации PF
192.168.1.0/24 - 10.0.0.3/32 через openvpn1
192.168.1.0/24 - 10.0.0.2/32 через openvpn2
вместо
192.168.1.0/24 - 10.0.0.0/24

atel

@konstanti Дабовлял такие маршруты в настройки OpenVPN, Но почему-то они не применяются... 
route 10.10.10.2 255.255.254.0 10.0.0.2;
route 10.10.10.3 255.255.254.0 10.0.0.3;

Konstanti

@atel
так Вы посмотрите/покажите на таблицу маршрутизации PF/ клиента после соединения обоих , и проверьте

1. все ли верно настроили ?
2. все ли выглядит как надо ?

werter

@atel

У вас клиенты при подкл. по впн должны получать РАЗНЫЕ ip. На схеме вижу одинаковый (10.10.10.2) для обоих клиентов.
Или создайте по серверу для каждого клиента или выдавайье клиента ФИКСИРУЕМЫЕ ip при подключении по впн.

atel

@werter said in OPENVPN не видно сеть за клиентом:

Или создайте по серверу для каждого клиента или выдавайье клиента ФИКСИРУЕМЫЕ ip при подключении по впн

Опечатка)) они получают разные ip и за каждым клиентом закреплен свой ip.

werter

@atel
Так пробовали ?

route 10.0.0.2 255.255.255.0 10.10.10.2;
route 10.0.0.3 255.255.255.0 10.10.10.3;

atel

@konstanti

Вот таблица маршрутизации. Насколько я понимаю проблема в автоматическом маршруте (выделенный красный). Но в настройках csc нельзя поставить только ip. IP отличаются от схемы, но суть не меняется.

atel

@werter Да пробовал. Я понимаю что надо указать маршрут какой ip идет через какой шлюз. Но не могу понять почему эти маршруты не применяются.

luha

@atel Действительно. Попробуйте серверы разные создавать. Это не сложно, иногда бывает даже нужно. Я сразу на старте сделал два - для TUN и для TAP и уже много раз было что помогло это.

Konstanti

@atel
Еще - как вариант , использовать PBR
"пихаете " весь трафик насильно для клиента 1 через ovpns1
для второго через opvpns2

это делается в настройках правил Lan интерфейса

atel

Все спасибо за участие. Вы подтолкнули в нужную сторону. Решил таким способом.
В настройка OpenVPN Server прописал
route 10.0.0.2 255.255.255.255 10.10.10.2;
route 10.0.0.3 255.255.255.255 10.10.10.3;
В csc клиентов прописал следующие;
iroute 10.0.0.2 255.255.255.255
iroute 10.0.0.3 255.255.255.255
И получилось что каждый клиент имеет строгий маршрут.