OVPN между pfSense

pigbrother

@toxansk said in OVPN между pfSense:

@pigbrother said in OVPN между pfSense:

route\или IPv4 Remote network(s) в настройках сервера

Это есть.

@pigbrother said in OVPN между pfSense:

И ее же в iroute в Client Specific Overrides.

Добавил.

@pigbrother said in OVPN между pfSense:

Она ему будет передана автоматически при заполнении поля IPv4 Local network(s) на сервере

Это было

Не помогло

Давайте скриншоты настроек клиента и сервера, Client Specific Overrides и Настройки файрволла для OpenVPN вкладки

ToXaNSK

@pigbrother
Сервер

Клиент

CSO

Rules

pigbrother

@toxansk Отличия от того, что у меня:
Я не задаю маску /30 в настройках сети туннеля на сервере
Не ограничиваю число соединений до 1
Не указываю сеть туннеля в настройках клиента
Не указываю никакие сети за сервером в настройках клиента

Нет ли ошибки в Common Name в CSO на сервере?

ToXaNSK

@pigbrother
Сыпятся ошибки на компрессию.
На yесоответствие mtu

Это вкладки компресси для сервера (2.3.4-RELEASE-p1 (i386)) и клиента (2.4.5-RELEASE-p1 (amd64))

ToXaNSK

@toxansk
Первое сервер, второе клиент

С клиента доступны обе стороны туннеля и все сети за туннелем в сети сервера.
Пользователи со стороны клиента видят только адрес туннеля со своей стороны.

С сервера доступно только адреса туннеля, адреса в сети клиента не доступны.

log.txt

ToXaNSK

@toxansk

Вроде заработало.

ping есть. Но ничего не грузиться

werter

@toxansk
На СЕРВЕРЕ в Локал нетворк - ОДНА сеть.
На КЛИЕНТЕ в Ремоут нетворк - ТРИ.
Определитесь.

Если обе железки умеют HW AES - вкл. на обеих.
Туннель нетворк указывать только на СЕРВЕРЕ. На клиенте - убрать.
Галку на Dynamic IP
Галку на UDP Fast I/O
Gateway creation - только IPv4.
Send\Receive buffer - от 512КБ (порпобовать увеличить)
И с шифрованием, сжатием поработать бы.

Каша в настройках (

ЗЫ.

ping есть. Но ничего не грузиться

Правила fw на ЛАН покажите.

werter

Есть два PF. А (2.3.4-RELEASE-p1)

Обновить не забудьте.
пф 2.5 уже в этом месяце (вроде)

ToXaNSK

This post is deleted!

ToXaNSK

@werter said in OVPN между pfSense:

@toxansk
На СЕРВЕРЕ в Локал нетворк - ОДНА сеть.
На КЛИЕНТЕ в Ремоут нетворк - ТРИ.
Определитесь.

Что здесь не правильно!?
На стороне сервера 3 влана.
Сеть1 пользователей
Сеть2 пользователей
Сеть оборудования

upd. Скрин был старый прикреплен, все таки час ночи...

Если обе железки умеют HW AES - вкл. на обеих.

Не имеет.

Туннель нетворк указывать только на СЕРВЕРЕ. На клиенте - убрать.

Если так сделать не ходят даже пинги.
В мануалах везде идет указания туннеля.
У сервера и у клиента

Галку на Dynamic IP
Галку на UDP Fast I/O

Первое не помогает
Второе только на клиенте, вкл. не стал

Gateway creation - только IPv4.

Проблему не решило

Send\Receive buffer - от 512КБ (порпобовать увеличить)

Поставил, не помогло.

И с шифрованием, сжатием поработать бы.

На разных версиях разные варианты.
Выкладывал выше, может кто нибудь знает одинаковые между версиями pfSense. Постоянно в логах ругань на шифрование

Каша в настройках (

Где именно!? Все как в манах от netgate и в интернете одно и тоже.

ЗЫ.

ping есть. Но ничего не грузиться

Правила fw на ЛАН покажите.
Sersver
LAN
IPv4 * LAN net * * * * none LAN net to any
OVPN
IPv4 * * * * * * none ovpn any to any
Client
LAN
IPv4 * OFFICE net * * * * none OFFICE net to any
OVPN
IPv4 * * * * * * none OVPN any to any

werter

Добрый
@toxansk

Галку на Dynamic IP
Галку на UDP Fast I/O

Первое не помогает

Второе только на клиенте, вкл. не стал

Gateway creation - только IPv4.

Проблему не решило

Send\Receive buffer - от 512КБ (порпобовать увеличить)

Поставил, не помогло.

ОНО и не поможет ПРОХОЖДЕНИЮ пакетов.
ОНО поможет ускорить работу туннеля.

werter

@ToXaNSK

Туннель нетворк указывать только на СЕРВЕРЕ. На клиенте - убрать.

Если так сделать не ходят даже пинги.
В мануалах везде идет указания туннеля.
У сервера и у клиента

Где именно!? Все как в манах от netgate и в интернете одно и тоже.

Видимо, мы РАЗНЫЕ мануалы читаем.
https://pfsense-docs.readthedocs.io/en/latest/vpn/openvpn/configuring-a-site-to-site-pki-ssl-openvpn-instance.html

Выкладывал выше, может кто нибудь знает одинаковые между версиями pfSense. Постоянно в логах ругань на шифрование

Обновите ВСЕ пф-ы до актуальной версии. Голова + стена = БОЛЬ.

Каша в настройках (

ToXaNSK

@werter said in OVPN между pfSense:

ОНО и не поможет ПРОХОЖДЕНИЮ пакетов.
ОНО поможет ускорить работу туннеля.

Что то не припоминаю, что об этом просил.

@werter said in OVPN между pfSense:

Видимо, мы РАЗНЫЕ мануалы читаем.
https://pfsense-docs.readthedocs.io/en/latest/vpn/openvpn/configuring-a-site-to-site-pki-ssl-openvpn-instance.html

Наверное да.
https://docs.netgate.com/pfsense/en/latest/vpn/openvpn/index.html

@werter said in OVPN между pfSense:

Обновите ВСЕ пф-ы до актуальной версии. Голова + стена = БОЛЬ.

Один обновить не представляется возможным, до понедельника.
Второй актуальный , новее только 2.4.5_1, но я думаю, что это не поможет.

ToXaNSK

@toxansk
Пока не поменяю сервер в точке А сделал все по другому.
Поднял openvpn на Микротик, сеть поднялась с пол пинка. На стороне сервера убрал сети из IPv4 Local network(s), т.к. маршуты в микротик прописывались не правильные, аля 172.16.4.0/255.255.255.255. На микротике добавил маршруты в точку Б, через ovpn, а маршруты до Микротика прописал на пользователях.
Костыль но рабочий.
Скорость канала поднялась, до 2,5-3,5МБ/сек.
Микротик разгрузился от доступа в инетернет. Занимается только PPTP, до камер, OVPN, и WiFi.

К вопросу соединения еще вернусь, скорее всего на следующей неделе.
П.С. Скорость доступа в сеть провайдера по показометру SpeedTest.
RB951G-2HnD до 109/120 Мбит/сек., загрузка процессора под 100%.
pfSense на Athlone x270/4Gb до 650/700 Мбит/сек., загрузка процессора до 20%.

pigbrother

@toxansk said in OVPN между pfSense:

RB951G-2HnD до 109/120 Мбит/сек., загрузка процессора под 100%.

К сожалению, модель для гигабита устарела. Получал на ней по IPOE 300-500 Мбит. Может помочь включение FastTrack

На микротике добавил маршруты в точку Б

Странно это. У меня микротики получают все маршруты от сервера. В этом одно из преимуществ OVPN - не нужно почти ничего настраивать на клиенте.

werter

@ToXaNSK

Что то не припоминаю, что об этом просил.

ОК. Не пользуйте. Мне все равно.

Наверное да.
https://docs.netgate.com/pfsense/en/latest/vpn/openvpn/index.htm

И? Дали ссылку на корень доки по овпн. Дальше пройти что помешало ?
https://docs.netgate.com/pfsense/en/latest/recipes/openvpn-s2s-tls.html

@pigbrother

Странно это. У меня микротики получают все маршруты от сервера. В этом одно из преимуществ OVPN - не нужно почти ничего настраивать на клиенте.

Это не странно. Это нежелание слушать и СЛЫШАТЬ (

ToXaNSK

@werter said in OVPN между pfSense:

Это не странно. Это нежелание слушать и СЛЫШАТЬ (

Может быть. Вам виднее.

Порою, надо вникать в суть вопроса, а не генерировать кучу не совсем уместных ответов.
Что бы СЛУШАТЕЛЬ мог УСЛЫШАТЬ ОТВЕЧАЮЩЕГО в том потоке информации который идет от него, а иногда необходимо спускаться на уровень ниже, что бы донести нормальным языком. Порою очевидные вещи, для одного индивидуума, не являются оными для другого, в силу сложившихся обстоятельств.
П.С. Вот вы обиделись по поводу: "Что то не припоминаю, что об этом просил", но реально если посмотреть на вещи, я не спрашивал о тюнинге ибо я в этом "0", а это отняло у меня несколько часов, и я прекрасно понимаю что версия pfSense старая, зачем наступать на одну и туже мозоль мне дважды!
Мне надо было решить проблему здесь и сейчас, на том что есть, как часто это бывает и лишняя информация меня сбивала и отнимала драгоценное время.

Я искренне и от всего сердца говорю вам СПАСИБО, за ваше терпение.