OVPN между pfSense

ToXaNSK

@pigbrother Не поднимается.
Не могу вставить лог.
Типа СПАМ.

ToXaNSK

@viktor_g
Это знаю. Меняю на udp. Должно же аналогично работать. Сертификаты сервера и клиента с сервера переписал.

viktor_g

@toxansk запакуйте лог ZIPом и добавьте вложением

werter

@ToXaNSK
Если надо оч. быстро в плане скорости - пользуйте ipsec. Или дождитесь wireguard.

ToXaNSK

@viktor_g
ovpn поднялось но сети не доступны.
Какие то маршруты надо прописывать дополнительно?

@werter said in OVPN между pfSense:

@ToXaNSK
Если надо оч. быстро в плане скорости - пользуйте ipsec. Или дождитесь wireguard.

Мyе надо временно перенастроить с микротика на pf.
Замена железа в точке А и потом только ipsec или wireguard.

viktor_g

@toxansk конечно, нужно прописать в Local Networks какие локальные сети будут доступны через вас удалённому пиру, и в Remote Networks - наооборот

см. пример https://docs.netgate.com/pfsense/en/latest/recipes/openvpn-s2s-tls.html

ToXaNSK

@viktor_g
Это есть. Но сети не доступны.
Сервер и клиент видят только свою сторону тунеля.
На стороне сервера в Client Specific Overrides надо что то писать?

viktor_g

@toxansk Распишите подробнее что у вас за сеть
Проверьте настройки файрволла для OpenVPN вкладки

pigbrother

@toxansk said in OVPN между pfSense:

На стороне сервера в Client Specific Overrides надо что то писать?

Конечно. Сеть за клиентом OVPN.

@toxansk said in OVPN между pfSense:

был Mikrotik

Для Микротик вы же ее тоже указывали.

ToXaNSK

@pigbrother
В Микротике я прописал маршрут руками.
В PF такого сделать нельзя, нет GW с OVPN.

Подскажите, как правильно написать.
iroute или route 172.16.4.0 255.255.255.0

где 172.16.4.0/24 сеть на стороне клиента.

А клиенту где указать сеть на стороне сервера?

Сервер
172.16.4.0/24 10.88.88.2 UGS 38 1500 ovpns1
Клиент
192.168.0.0/24 10.88.88.1 UGS 877 1500 ovpnc1
192.168.10.0/24 10.88.88.1 UGS 0 1500 ovpnc1

10.88.88.1 Сервер
10.88.88.2 Клиент

pigbrother

@toxansk said in OVPN между pfSense:

Подскажите, как правильно написать.
iroute или route 172.16.4.0 255.255.255.0

route\или IPv4 Remote network(s) в настройках сервера
И ее же в iroute в Client Specific Overrides.

@toxansk said in OVPN между pfSense:

А клиенту где указать сеть на стороне сервера?

Она ему будет передана автоматически при заполнении поля IPv4 Local network(s) на сервере

ToXaNSK

@pigbrother said in OVPN между pfSense:

route\или IPv4 Remote network(s) в настройках сервера

Это есть.

@pigbrother said in OVPN между pfSense:

И ее же в iroute в Client Specific Overrides.

Добавил.

@pigbrother said in OVPN между pfSense:

Она ему будет передана автоматически при заполнении поля IPv4 Local network(s) на сервере

Это было

Не помогло

pigbrother

@toxansk said in OVPN между pfSense:

@pigbrother said in OVPN между pfSense:

route\или IPv4 Remote network(s) в настройках сервера

Это есть.

@pigbrother said in OVPN между pfSense:

И ее же в iroute в Client Specific Overrides.

Добавил.

@pigbrother said in OVPN между pfSense:

Она ему будет передана автоматически при заполнении поля IPv4 Local network(s) на сервере

Это было

Не помогло

Давайте скриншоты настроек клиента и сервера, Client Specific Overrides и Настройки файрволла для OpenVPN вкладки

ToXaNSK

@pigbrother
Сервер

Клиент

CSO

Rules

pigbrother

@toxansk Отличия от того, что у меня:
Я не задаю маску /30 в настройках сети туннеля на сервере
Не ограничиваю число соединений до 1
Не указываю сеть туннеля в настройках клиента
Не указываю никакие сети за сервером в настройках клиента

Нет ли ошибки в Common Name в CSO на сервере?

ToXaNSK

@pigbrother
Сыпятся ошибки на компрессию.
На yесоответствие mtu

Это вкладки компресси для сервера (2.3.4-RELEASE-p1 (i386)) и клиента (2.4.5-RELEASE-p1 (amd64))

ToXaNSK

@toxansk
Первое сервер, второе клиент

С клиента доступны обе стороны туннеля и все сети за туннелем в сети сервера.
Пользователи со стороны клиента видят только адрес туннеля со своей стороны.

С сервера доступно только адреса туннеля, адреса в сети клиента не доступны.

log.txt

ToXaNSK

@toxansk

Вроде заработало.

ping есть. Но ничего не грузиться

werter

@toxansk
На СЕРВЕРЕ в Локал нетворк - ОДНА сеть.
На КЛИЕНТЕ в Ремоут нетворк - ТРИ.
Определитесь.

Если обе железки умеют HW AES - вкл. на обеих.
Туннель нетворк указывать только на СЕРВЕРЕ. На клиенте - убрать.
Галку на Dynamic IP
Галку на UDP Fast I/O
Gateway creation - только IPv4.
Send\Receive buffer - от 512КБ (порпобовать увеличить)
И с шифрованием, сжатием поработать бы.

Каша в настройках (

ЗЫ.

ping есть. Но ничего не грузиться

Правила fw на ЛАН покажите.

werter

Есть два PF. А (2.3.4-RELEASE-p1)

Обновить не забудьте.
пф 2.5 уже в этом месяце (вроде)