Pf Sence - Openvpn(Peer to Peer)

pigbrother

@евгений

1. iroute указывается в Client Specific Overrides

2. Мне одному кажется, что у этого сервера сертификат совпадает с сертификатом вашего севера Remote Access отсюда:
   https://forum.netgate.com/topic/160686/pf-sence-openvpn-remote-access-points

Евгений

@pigbrother said in Pf Sence - Openvpn(Peer to Peer):

https://forum.netgate.com/topic/160686/pf-sence-openvpn-remote-access-points

Да все верно не успел поменять, для этого подключения нужно создать новые сертификаты?

pigbrother

@евгений said in Pf Sence - Openvpn(Peer to Peer):

Да все верно не успел поменять, для этого подключения нужно создать новые сертификаты?

Неизменен только CA. Для каждого субъекта Openvpn нужен сертификат.
Про iroute не забудьте

Евгений

@pigbrother Спасибо огромное коллега все заработало! Создал сертификаты новые!

Евгений

@pigbrother Единственное не пойму как теперь заставить видеть сеть за pfsense у меня комп подключен к Микротику, что то надо на pfsense прописать типо маскарада? за pf sense у меня сеть 10.10.0.xxx сам за микротик выдает адреса 192.168.10.xxx Client Specific Overrides прописал iroute но что то ничего не пингует

pigbrother

@евгений said in Pf Sence - Openvpn(Peer to Peer):

надо на pfsense прописать типо маскарада

Никаких маскрадов и NAT писать не надо. Микротик получает маршрут в сеть за pf?
Мой старый пост про mikrotik+pfsense OpenVPN:
https://forum.netgate.com/topic/135133/mikrotik-pfsense-openvpn/15

Евгений

@pigbrother said in Pf Sence - Openvpn(Peer to Peer):

@евгений said in Pf Sence - Openvpn(Peer to Peer):

надо на pfsense прописать типо маскарада

Никаких маскрадов и NAT писать не надо. Микротик получает маршрут в сеть за pf?
а как это проверить я к сожалению ни силен в маршрутизации) но не пингует ни туда ни обратно хотя статусы стоят подключено

Евгений

@pigbrother said in Pf Sence - Openvpn(Peer to Peer):

https://forum.netgate.com/topic/135133/mikrotik-pfsense-openvpn/15

и забыл уточнить подскажите пожалуйста на микротик выгружаеться сертификат который сгенерирован на вкладке Certificate Manager
CAs
ни серверный ни клиентский?
я сперва экспортировал на микротик сертификат потом ключ

pigbrother

@евгений
IP->Routes в Winbox
или
/ip route print
в терминале.
Должно получится что-то, содержащее вроде этого:

2 ADS 10.0.2.0/24 10.11.12.1 1
3 ADS 10.0.3.0/24 10.11.12.1 1
4 ADS 10.0.4.0/24 10.11.12.1 1
5 ADS 10.0.5.0/24 10.11.12.1 1
6 ADC 10.10.5.0/24 10.10.5.1 bridge 0
7 ADC 10.11.12.0/24 10.11.12.2 ovpn-out1 0

У меня это:
10.0.2.х/24 - сети за pfSense
10.11.12.0/24 - сеть туннеля
10.10.5.0/24 - сеть за Микротиком

Евгений

@pigbrother said in Pf Sence - Openvpn(Peer to Peer):

/ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit

DST-ADDRESS PREF-SRC GATEWAY DISTANCE

0 ADS 0.0.0.0/0 pppoe-out1 1
1 ADS 10.10.0.0/24 172.16.20.1 1
2 ADC 95.174.97.98/32 95.174.110.204 pppoe-out1 0
3 ADC 172.16.20.0/24 172.16.20.2 vpnpfsense 0
4 ADC 192.168.10.0/24 192.168.10.1 bridge

pigbrother

@евгений said in Pf Sence - Openvpn(Peer to Peer):

1 ADS 10.10.0.0/24 172.16.20.1 1

Вот ваш маршрут в сеть офиса.
Правила на
Firewall-Rules-OpenVPN
содержат
IPv4 * * * * * * none
?

Евгений

@pigbrother да все верно