Настройка OpenVPN за домашним роутером
-
@werter Спасибо за совет - не помогло. По поводу iroute (и вообще по OpenVPN) прочитал всё уже, до чего добрался. Оказалось, дело не в этом.
-
Проблема решена. Нужно было всего-то на роутерах TP-Link, которые перед pfsens'ами стоят, прописать статическую маршрутизацию, которая направляет весь трафик с OpenVPN соединений на шлюз pfsense.
Если кому надо будет, позже могу сделать более подробное описание с решением, потому как сам долго допереть не мог. -
@mustdie89
Поздравляю )
Опишите КАК.
Не оч. понятно, причем тут тп-линки, если они лишь отвечают за инет и не участвуют в овпн.
Спасибо. -
@mustdie89 said in Настройка OpenVPN за домашним роутером:
позже могу сделать более подробное описание с решением,
Если можно. С указанием где какая подсеть.
-
Спасибо за поздравления, но, как оказалось, ещё рано ) Не всё смог победить.
Если описать по-простому, то вот, что сейчас есть и как оно работает:
Поскольку роутеры (TP-Link) выдают инет на внутренние устройства, а pfsense только лишь с WAN интерфесами (т.е. в раздаче инета они не участвуют), то связь по OpenVPN есть, но только на pfsense. Устройства никак сеть эту не видят, но имеют выход в инет через TP-Link'и. Точнее, видят, но не видят второй конец. Предположим, что туннель 172.16.55.0/24. Получается, что с одного конца устройства видят 172.16.55.1, но не видят 172.16.55.2, а сдругого конца - наоборот.
Чтобы всё заработало, я добавил на роутеры статическую маршрутизацию, посколько именно они являются шлюзом по умолчанию для всех устройств в сети. Т.е. когда обращение идёт в инет, роутеры ничего не делают и тупо выпускают в инет. Если я с какого-либо устройства ввожу адрес в удалённой сети (типа 192.168.20.5), то TP-Link'и это дело видят и отправляют пакет не через инет, а на pfsense, который уже отправляет пакеты на другой конец. Вот как-то так.
Осталась одна проблема. В целом, всё работает. Я с любого компа любой сети могу подключиться к обоим pfsens'ам и обоим TP-Link'ам. Но не могу подключиться к другим компам, что странно, ведь у связки TP-link -> pfsense -> PC одна подсеть.
Примечание - если на компах прописать в default gateway ip-адрес pfsense, то в сети их становится видно, но интернет на них отваливается.
Может, криво описал, извините, но пока как-то так. Постараюсь это всё добить. Есть вероятность, что зря я полез в роутеры, и можно это было решить только на pfsense, но я пока не понял, как. В принципе, для моих нужд и этого хватит, но хочется добить до конца, чтобы с рукожопой конфигурацией, как у меня, это нормально работало )
Делать всё по инструкции, конечно, эффективнее, но не так интересно ) Если у кого есть какие ещё мысли по этому поводу - делитесь, будем ковырять дальше ) -
@mustdie89 said in Настройка OpenVPN за домашним роутером:
Если у кого есть какие ещё мысли по этому поводу
Я для эксперимента проделывал такое. Полноценный pfSense, за ним - виртуальная машина с pfSense, тоже с одним интерфейсом, на этом pfSense заработал Remote Access OpenVPN сервер. Site-to-Site не заработал.
-
@pigbrother Кстати, да, забыл сказать, что меня в домашней сети pfsense на виртуалке, а на клиенте - реальный pfsense. Оба имеют только по одному интерфейсу. Настроены на site-to-site. Чуть позже накидаю карту, как только разберусь, как на этом форуме картинки вставлять )
-
@mustdie89 said in Настройка OpenVPN за домашним роутером:
на виртуалке, а на клиенте - реальный pfsense
Это в данном случае не имеет значения.
@mustdie89 said in Настройка OpenVPN за домашним роутером:
как только разберусь, как на этом форуме картинки вставлять
Предпоследняя справа иконка над окном ответа.
-
Это настройки на сервере. На клиенте аналогичны, только вместо х.х.20.0, там стоит х.х.10.0, ну и клиент настроен по-простому, все настройки с сервера берёт.
Да, только не 172.16, а 192.168.100.0/24. На остальные адреса в насторйках OpenVPN можно не смотреть, я создал ещё сервер на remote access, чтобы с телефона можно было подключиться.
Правила в фаерволе всё везде разрешают, Outbond NAT в автоматическом режиме -
@mustdie89 said in Настройка OpenVPN за домашним роутером:
ну и клиент настроен по-простому
А Client Specific Overrides для этого клиента на сервере настроен?
Что за сети кроме 10.0/24 в Local networks сервера? Ну или зачем там сеть 20.0/24 за клиентом?
На рисунке сеть туннеля 172.16.55.0/24, в настройках сервера - 192.168.100.0/24 -
@pigbrother
Client Specific Overrides , естественно, настроены.
По поводу других сетей и 172.16.55.0 я написал чуть ниже, под рисунками.@mustdie89 said in Настройка OpenVPN за домашним роутером:
Это настройки на сервере. На клиенте аналогичны, только вместо х.х.20.0, там стоит х.х.10.0, ну и клиент настроен по-простому, все настройки с сервера берёт.
Да, только не 172.16, а 192.168.100.0/24. На остальные адреса в насторйках OpenVPN можно не смотреть, я создал ещё сервер на remote access, чтобы с телефона можно было подключиться.
Правила в фаерволе всё везде разрешают, Outbond NAT в автоматическом режимеИсправил. Просто изначально 172.16 было, забыл
@pigbrother said in Настройка OpenVPN за домашним роутером:
Ну или зачем там сеть 20.0/24 за клиентом?
А вот тут не совсем понял
-
@mustdie89 said in Настройка OpenVPN за домашним роутером:
А вот тут не совсем понял
192.168.20.0/24 - сеть за клиентом. Зачем она в Local networks сервера?
@mustdie89 said in Настройка OpenVPN за домашним роутером:
Outbond NAT в автоматическом режиме
В случае 1 интерфейса NAT ничем не занимается.
-
@pigbrother Если верить инструкциям разным, то чтобы сеть нормально роутилась меджу всеми клиентами, нужно указывать в Local Networks все сети, если я правильно понял. Могу попробовать убрать, но вряд ли это что-то изменит. Как я уже говорил, я вижу с любого компа одной сети всё оборудование другой за исключением компов в другой сети.
UPD: Убрал сеть 20.0 из local Networks, ничего не изменилось.
-
@mustdie89 said in Настройка OpenVPN за домашним роутером:
нужно указывать в Local Networks все сети,
Все сети, которые знает pfSense\Open VPN. Т.е если есть сети за другими интерфейсам\VPN туннелями\IPsec- да, если к ним нужен доступ для этого клиента. Но не к сети, к которой этот сервер будет иметь доступ через создаваемый туннель.
Для этого туннеля сеть указывается в Remote Networks -
@pigbrother Спасибо за пояснение, приму к сведению. Но для данного проекта никаких полезных изменений это не повлекло.
-
@mustdie89 said in Настройка OpenVPN за домашним роутером:
Но для данного проекта никаких полезных изменений это не повлекло.
Создавать заведомо порочную конструкцию
, да еще и с неверными настройками - это слишком.Повторю, сам хотел поднять такое. Но
@pigbrother said in Настройка OpenVPN за домашним роутером:
заработал Remote Access OpenVPN сервер. Site-to-Site не заработал.
-
@pigbrother А никто и не надеялся, что оно заработает с первого раза ))) Я уже дня 4-5 с ней вожусь, всё никак не могу заставить это работать так, как надо. Самое интересное, что уже близко, осталось только контрольный в голову произвести, но пока непонятно, где голова и чем стрелять
@pigbrother said in Настройка OpenVPN за домашним роутером:
заработал Remote Access OpenVPN сервер. Site-to-Site не заработал.
Remote Access работает без проблем. А надо именно Site-to-Site
-
@mustdie89
Держите в курсе. Мне реально интересно. -
@pigbrother Если заработает, то я, естественно, тут опишу всё. Есть вероятность, что придётся заново всё перенастроить, но чем сложнее задача - тем интереснее )))
-
Добрый
@mustdie89На пф, где роутер БЕЗ симки:
- Добавить вторую сетевую на пф для ЛАН.
- Тп-линк перевести в режим ТД\выкл. dhcp на нем. Будем использовать его как простой свитч.
- На пф (при двух сетевых) подключить инет на ВАН, ЛАН пф-а и все ваши устр-ва воткнуть в ЛАН-порты тп-линка. Если ЛАН-портов на тп-линке не хватает, то перешить его в openwrt (4pda в помощь) - появится возможность использовать ВАН-порт тп-линка как ЛАН.
Можно докупить б\у свитч\роутер на авито, если не хватит портов.
На пф, где роутер с СИМкой вижу след. варианты:
- докупить б\у usb-модем, воткнуть в пф - будет ВАН для пф-а. Далее как описано выше;
- докупить 2-ую сетевую для пф и простой свитч. ВАН-ом для пф будет роутер с СИМ-кой, ЛАН пф-а и все ваши устр-ва воткнуть в простой свитч.
В вашем случае, если пф с одной сетевой он и не нужен особо. Смотрите на pritunl, streisand etc
