OpenVPN 2 подсети

IStandAlone

Уважаемые форумчане, добрый день! С pfSense столкнулся недавно, в настоящее время используется как шлюз на предприятии. Встала острая необходимость в объединении 2х подсетей посредством openVPN.
Что имею: Подсеть А (основная) 192.168.0.0/22. Основной шлюз на pfSense. LAN - 192.168.1.1, WAN - 195.112.116.XXX
Подсеть Б (филиал) 172.27.0.0/24. В качестве основного шлюза выступает роутер Keeretic omni 2.
LAN - 172.27.0.1/24; WAN - 192.112.112.XXX.
На pfSense развернут openVPN - 10.0.8.0/24. Ip самого pfsense 10.0.8.1. Комп в подсети Б, подключенный к openVPN имеет ip 10.0.8.18 (windows xp), в локалке он 172.27.0.7.
Подскажите, пожалуйста, как мне реализовать объединение 2х подсетей 192.168.0.0 и 172.27.0.0, чтобы они были прозрачными друг для друга посредством клиент-сервер (10.0.8.1 и 10.0.8.18), пинги ходили в обе стороны? Какие маршруты и где следует прописать? И что разрешить в правилах брендмауэра на pfSense, чтобы трафик ходил между подсетями? Заранее благодарен за помощь!

werter

Доброе
Перенести подкл. с WinXP на Зюхел. Вроде ж у вас там NDMS. В любом случае - обновитесь до посл. вер. прошивки свой Зюхель.
Вот вам для размышления - http://forum.keenetic.net/topic/250-тестирование-207-linux-34/, http://forum.ixbt.com/topic.cgi?id=14:60385-49

P.s. О , ipsec же есть - https://zyxel.ru/kb/4857/

IStandAlone

@werter:

Доброе
Перенести подкл. с WinXP на Зюхел. Вроде ж у вас там NDMS. В любом случае - обновитесь до посл. вер. прошивки свой Зюхель.
Вот вам для размышления - http://forum.keenetic.net/topic/250-тестирование-207-linux-34/, http://forum.ixbt.com/topic.cgi?id=14:60385-49

Версия NDMS v2.05(AAUS.5)C4, обновлялась недавно. В настройках VPN клиента на роутере есть только PPTP и L2TP, что не подходит.

werter

ipsec же есть - https://zyxel.ru/kb/4857/

В кач-ве ipsec-сервера исп. pf. Zyxel будет клиентом.

Версия NDMS v2.05(AAUS.5)C4, обновлялась недавно

А оф. сайт говорит о другом - https://zyxel.ru/support/?product=keenetic-omni-2

IStandAlone

@werter:

ipsec же есть - https://zyxel.ru/kb/4857/

В кач-ве ipsec-сервера исп. pf. Zyxel будет клиентом.

Версия NDMS v2.05(AAUS.5)C4, обновлялась недавно

А оф. сайт говорит о другом - https://zyxel.ru/support/?product=keenetic-omni-2

Не наблюдаю в "компонентах" данный пакет на роутере

??????????.jpg
??????????.jpg_thumb

werter

Это пробуйте http://forum.keenetic.net/topic/250-тестирование-207-linux-34/

Там еще в настр. Обновления можно выбрать типа Бета, Экспериентальная ветки вроде.

IStandAlone

@werter:

Это пробуйте http://forum.keenetic.net/topic/250-тестирование-207-linux-34/

Там еще в настр. Обновления можно выбрать типа Бета, Экспериентальная ветки вроде.

Ага, спасибо. Слил новую прошивку 2.8. Теперь доступен компонент Ipsec для установки. Попробую с ним поиграться. По результатам отпишу.

IStandAlone

Настроил соединение Ipsec между роутером и pfsense. Успешно установлено. Но связи между удаленными сетями по прежнему нет, пинги не ходят. Во вложениях скрины. Подскажите пожалуйста куда копать дальше?

pfsense.jpg_thumb

pf_fire.jpg_thumb

zyxel.jpg_thumb

werter

У всех клиентов в обеих сетях шлюзами должны быть их роутеры - pf и зюхель соответственно.

Выкл. fw\антивирусы на клиентах за роутерами для проверки.

Смотрите на зюхеле настройки NAT и межсетевой экран.

Для понимания где затык исп. команду tracert с машин за роутерами на обоих концах.

P.s. Покажите скрин правил fw на LAN pf.
Создайте на ЛАН пф явное разр. правило , где в сурс будет ЛАН нет , в дест - сеть за зюхелем. И поместите это правило выше всех.

IStandAlone

Правила для LAN

pf1.jpg_thumb

pf2.jpg_thumb

IStandAlone

Извиняюсь, продублировались.

IStandAlone

@werter:

У всех клиентов в обеих сетях шлюзами должны быть их роутеры - pf и зюхель соответственно.

Выкл. fw\антивирусы на клиентах за роутерами для проверки.

Смотрите на зюхеле настройки NAT и межсетевой экран.

Для понимания где затык исп. команду tracert с машин за роутерами на обоих концах.

P.s. Покажите скрин правил fw на LAN pf.
Создайте на ЛАН пф явное разр. правило , где в сурс будет ЛАН нет , в дест - сеть за зюхелем. И поместите это правило выше всех.

Создал правило и поместил в самый верх для LAN. Все так же. Попробовал tracert до удаленной сети. Результат одинаковый: доходит до LAN интерфейса шлюза , а дальше "превышен интервал", не знает куда.. Шлюзы у клиентов прописаны.

tracert.jpg_thumb

werter

Создал правило и поместил в самый верх для LAN

Покажите.

Создайте на ЛАН пф явное разр. правило , где в сурс будет ЛАН нет , в дест - сеть за зюхелем. И поместите это правило выше всех.

Покажите routing table на pf и zyxel при подн. туннеле.

IStandAlone

@werter:

Создал правило и поместил в самый верх для LAN

Покажите.

Создайте на ЛАН пф явное разр. правило , где в сурс будет ЛАН нет , в дест - сеть за зюхелем. И поместите это правило выше всех.

Покажите routing table на pf и zyxel при подн. туннеле.

Правило создано и помещено по приоритету выше всех.

rulls.jpg_thumb

pigbrother

_Правило создано и помещено по приоритету выше всех.[.шъ

Измените в нем TCP/UDP на any (*)_

IStandAlone

Прошу прощения за долгий ответ, был в командировке. Всем спасибо за помощь. Проблема решилась добавлением правила "any" для удаленной подсети.