OpenVPN между Pfsense и Centos
-
Всем привет.
Потребовалось настроить Openvpn между двумя офисами(Сеть 192.168.2.0\24)–Pfsense 2.3.1(сервер)[10.0.8.1] <–--- [10.0.8.2]Centos 5.8(клиент)–(Сеть 192.168.15.0\24)
Конфиг на стороне Centos 5.8
dev tun0 persist-tun persist-key cipher AES-256-CBC auth SHA256 tls-client client resolv-retry infinite remote 176.9.xxx.xxx 1194 udp lport 0 #verify-x509-name "Hetzner Gw01 Server" name ca /etc/openvpn/hetznergw01/Hetzner+Gw01+CA.crt cert /etc/openvpn/hetznergw01/nsk-ofs.crt key /etc/openvpn/hetznergw01/nsk-ofs.key tls-auth /etc/openvpn/hetznergw01/gw-pfsense-udp-1194-nsk-ofs-tls.key 1 ns-cert-type server log /var/log/openvpn/tap1/hetznergw01.log status /var/log/openvpn/tap10/status.log 60 status-version 2
Iptables на Centos 5.8
#OPENVPN HETZNER $IPTABLES -A INPUT -p ICMP --icmp-type 8 -i tun0 -j ACCEPT $IPTABLES -A FORWARD -p ICMP --icmp-type 8 -i tun0 -o eth0 -j ACCEPT $IPTABLES -A FORWARD -p ICMP --icmp-type 8 -o tun0 -i eth0 -j ACCEPT
ip r
192.168.2.0/24 via 10.0.8.1 dev tun0
192.168.15.0/24 dev eth0 proto kernel scope link src 192.168.15.3
37.194.33.0/24 dev eth4 proto kernel scope link src 37.194.33.223
192.168.110.0/24 dev tap10 proto kernel scope link src 192.168.110.1
10.0.8.0/24 dev tun0 proto kernel scope link src 10.0.8.2
169.254.0.0/16 dev eth4 scope link
default via 37.194.33.1 dev eth4Соединение устанавливается.
Сервера пингуют друг друга по ВПН-кому IP [10.0.8.1] [10.0.8.2]Но компьютеры в одной сети не видят компьютеры в другой сети. Пинги не проходят.
На серваке с Centos вообще потушил iptablesПомогите разобраться.
Скриншоты настроек pfsense приложу
-
Добавить на LAN pf явное правило для прохождения трафика из LAN pf в LAN CentOS. Поставить это правило выше всех.
Правила fw на LAN pf за номерами сверху-вниз 2 и 3 - неверные. Они не имеют никакого отношения к OpenVPN.
Правила для OpenVPN рисуются только на инт. Openvpn.Зы. Готовое решение. Красивое )
https://habrahabr.ru/company/infobox/blog/248445/Клиент - https://client.pritunl.com/
Сервер - https://github.com/pritunl/pritunlЗ.ы2.
1. Вкл. NAT на CentOS2. $IPTABLES -A INPUT -p ICMP –icmp-type 8 -i tun+ -j ACCEPT
$IPTABLES -A FORWARD -p ICMP –icmp-type 8 -i tun+ -o eth0 -j ACCEPT
$IPTABLES -A FORWARD -p ICMP –icmp-type 8 -o tun+ -i eth0 -j ACCEPTИ –icmp-type 8 не указывайте явно, пока не заработает всё. Потом добавите.
-
Не работает. Скрины правил прикрепил. Куда копать?
Кстати правильно ли я поднял правила на верх? Выше верхнего дефолтного не дает поднимать.Добавить на LAN pf явное правило для прохождения трафика из LAN pf в LAN CentOS. Поставить это правило выше всех.
Правила fw на LAN pf за номерами сверху-вниз 2 и 3 - неверные. Они не имеют никакого отношения к OpenVPN.
Правила для OpenVPN рисуются только на инт. Openvpn.Зы. Готовое решение. Красивое )
https://habrahabr.ru/company/infobox/blog/248445/Клиент - https://client.pritunl.com/
Сервер - https://github.com/pritunl/pritunlЗ.ы2.
1. Вкл. NAT на CentOS2. $IPTABLES -A INPUT -p ICMP –icmp-type 8 -i tun+ -j ACCEPT
$IPTABLES -A FORWARD -p ICMP –icmp-type 8 -i tun+ -o eth0 -j ACCEPT
$IPTABLES -A FORWARD -p ICMP –icmp-type 8 -o tun+ -i eth0 -j ACCEPTИ –icmp-type 8 не указывайте явно, пока не заработает всё. Потом добавите.
-
1. На OpenVPN оставьте одно правило - все звездочки.
2. На LAN в самом вверх добавьте только одно правило :
LAN net * * удаленная_сеть * -
Внес попроавки в правила.
Не помолго.
Клиенты из одной сети не видят клиентов из другой.Прикрепил скриншот правил LAN. Вы пишите поднять правило на верх. Вопрос.
1. Можно ли исходя из скриншота сказать ,что правило поднято на верх? Выше правила "Anti-Lockout Rule" поднять не знаю как.
-
Когда используется режим SSL/TLS не достаточно прописать IPv4 Remote Network/s в настройках сервера. Необходимо сделать это и в Client Specific Overrides для данного клиента.
-
Когда используется режим SSL/TLS не достаточно прописать IPv4 Remote Network/s в настройках сервера. Необходимо сделать это и в Client Specific Overrides для данного клиента.
rubic спасибо большое за совет. Заработало.