OpenVPN между Pfsense и Centos



  • Всем привет.
    Потребовалось настроить Openvpn между двумя офисами

    (Сеть 192.168.2.0\24)–Pfsense 2.3.1(сервер)[10.0.8.1] <–--- [10.0.8.2]Centos 5.8(клиент)–(Сеть 192.168.15.0\24)

    Конфиг на стороне Centos 5.8

    dev tun0
    persist-tun
    persist-key
    cipher AES-256-CBC
    auth SHA256
    tls-client
    client
    resolv-retry infinite
    remote 176.9.xxx.xxx 1194 udp
    lport 0
    #verify-x509-name "Hetzner Gw01 Server" name
    ca /etc/openvpn/hetznergw01/Hetzner+Gw01+CA.crt
    cert /etc/openvpn/hetznergw01/nsk-ofs.crt
    key /etc/openvpn/hetznergw01/nsk-ofs.key
    tls-auth /etc/openvpn/hetznergw01/gw-pfsense-udp-1194-nsk-ofs-tls.key 1
    ns-cert-type server
    log /var/log/openvpn/tap1/hetznergw01.log
    status /var/log/openvpn/tap10/status.log 60
    status-version 2
    
    

    Iptables на Centos 5.8

    
    #OPENVPN HETZNER
    $IPTABLES -A INPUT -p ICMP --icmp-type 8 -i tun0 -j ACCEPT
    $IPTABLES -A FORWARD -p ICMP --icmp-type 8 -i tun0 -o eth0 -j ACCEPT
    $IPTABLES -A FORWARD -p ICMP --icmp-type 8 -o tun0 -i eth0 -j ACCEPT
    
    

    ip r

    192.168.2.0/24 via 10.0.8.1 dev tun0
    192.168.15.0/24 dev eth0  proto kernel  scope link  src 192.168.15.3
    37.194.33.0/24 dev eth4  proto kernel  scope link  src 37.194.33.223
    192.168.110.0/24 dev tap10  proto kernel  scope link  src 192.168.110.1
    10.0.8.0/24 dev tun0  proto kernel  scope link  src 10.0.8.2
    169.254.0.0/16 dev eth4  scope link
    default via 37.194.33.1 dev eth4

    Соединение устанавливается.
    Сервера пингуют друг друга по ВПН-кому IP [10.0.8.1] [10.0.8.2]

    Но компьютеры в одной сети не видят компьютеры в другой сети. Пинги не проходят.
    На серваке с Centos вообще потушил iptables

    Помогите разобраться.
    Скриншоты настроек pfsense приложу















  • Добавить на LAN pf явное правило для прохождения трафика из LAN pf в LAN CentOS. Поставить это правило выше всех.
    Правила fw на LAN pf за номерами сверху-вниз 2 и 3  - неверные. Они не имеют никакого отношения к OpenVPN.
    Правила для OpenVPN рисуются только на инт. Openvpn.

    Зы. Готовое решение. Красивое )
    https://habrahabr.ru/company/infobox/blog/248445/

    Клиент - https://client.pritunl.com/
    Сервер - https://github.com/pritunl/pritunl

    З.ы2.
    1. Вкл. NAT на CentOS

    2. $IPTABLES -A INPUT -p ICMP –icmp-type 8 -i tun+ -j ACCEPT
        $IPTABLES -A FORWARD -p ICMP –icmp-type 8 -i tun+ -o eth0 -j ACCEPT
        $IPTABLES -A FORWARD -p ICMP –icmp-type 8 -o tun+ -i eth0 -j ACCEPT

    И –icmp-type 8 не указывайте явно,  пока не заработает всё. Потом добавите.



  • Не работает. Скрины правил прикрепил. Куда копать?
    Кстати правильно ли я поднял правила на верх? Выше верхнего дефолтного не дает поднимать.

    @werter:

    Добавить на LAN pf явное правило для прохождения трафика из LAN pf в LAN CentOS. Поставить это правило выше всех.
    Правила fw на LAN pf за номерами сверху-вниз 2 и 3  - неверные. Они не имеют никакого отношения к OpenVPN.
    Правила для OpenVPN рисуются только на инт. Openvpn.

    Зы. Готовое решение. Красивое )
    https://habrahabr.ru/company/infobox/blog/248445/

    Клиент - https://client.pritunl.com/
    Сервер - https://github.com/pritunl/pritunl

    З.ы2.
    1. Вкл. NAT на CentOS

    2. $IPTABLES -A INPUT -p ICMP –icmp-type 8 -i tun+ -j ACCEPT
        $IPTABLES -A FORWARD -p ICMP –icmp-type 8 -i tun+ -o eth0 -j ACCEPT
        $IPTABLES -A FORWARD -p ICMP –icmp-type 8 -o tun+ -i eth0 -j ACCEPT

    И –icmp-type 8 не указывайте явно,  пока не заработает всё. Потом добавите.






  • 1. На OpenVPN оставьте одно правило - все звездочки.
    2. На LAN в самом вверх добавьте только одно правило :
    LAN net * * удаленная_сеть *



  • Внес попроавки в правила.
    Не помолго.
    Клиенты из одной сети не видят клиентов из другой.

    Прикрепил скриншот правил LAN. Вы пишите поднять правило на верх. Вопрос.
    1. Можно ли исходя из скриншота сказать ,что правило поднято на верх? Выше правила "Anti-Lockout Rule" поднять не знаю как.




  • Когда используется режим SSL/TLS не достаточно прописать IPv4 Remote Network/s в настройках сервера. Необходимо сделать это и в Client Specific Overrides для данного клиента.



  • @rubic:

    Когда используется режим SSL/TLS не достаточно прописать IPv4 Remote Network/s в настройках сервера. Необходимо сделать это и в Client Specific Overrides для данного клиента.

    rubic спасибо большое за совет. Заработало.