Ipsec+openvpn

105610721084108010831100

Добрый день.
Имеются 2 pfsense(pfsense1(lan192.168.5.0/24), pfsense2(lan192.168.0.0/24)), между ними ipsec.
На pfsense1 поднят openvpn(10.0.9.0/24). Не могу попасть из сети 10.0.9.0/24 в сеть 192.168.0.0/24.
Вроде все верно. Но что то не получается. Может подскажете что?

0,1.png
0,1.png_thumb
0,1?.png
0,1?.png_thumb
5,1.png
5,1.png_thumb
5,1?.png
5,1?.png_thumb

pigbrother

У меня работает такая конфигурация

https://forum.pfsense.org/index.php?topic=53767.0
Если коротко - на pf1 нужны в IPSEC
phase 2 между 192.168.5.0/24 и 192.168.0.0/24
и еще одна
phase 2 между 10.0.9.0/24 и 192.168.0.0/24

и тогда на сервере Open VPN отработает

push "route 192.168.0.0 255.255.255.0"

P.S
Если клиент Open VPN подключается, находясь где-то, где в локальной сети тоже используется 192.168.0.0/24 (а таких сетей большинство) - может получиться конфликт пересечения его локальной и удаленной сетей.

2016-10-31_15-01-49.png_thumb

105610721084108010831100

@pigbrother:

https://forum.pfsense.org/index.php?topic=53767.0

Если коротко - на pf1 нужны в IPSEC
phase 2 между 192.168.5.0/24 и 192.168.0.0/24
и еще одна
phase 2 между 10.0.9.0/24 и 192.168.0.0/24

и тогда на сервере Open VPN отработает

push "route 192.168.0.0 255.255.255.0"

P.S
Если клиент Open VPN подключается, находясь где-то, где в локальной сети тоже используется 192.168.0.0/24 (а таких сетей большинство) - может получиться конфликт пересечения локальной и удаленной сетей.

У меня ведь добавлены phase 2.
push "route 192.168.0.0 255.255.255.0"- вот это не понял. Нужно добавить маршрут вручную на машине, которая подключается к openvpnserver?

pigbrother

У меня ведь добавлены phase 2.
Никак не привыкну к новому интерфейсу pfSense

В настройках OpenVPN server
добавьте в Advanced configuration
route 192.168.0.0 255.255.255.0
На вкладках
Firewall: Rules:IPsec
и
Firewall: Rules:OpenVPN

Оставьте пока по одному правилу

IPv4 * * * * * * none

105610721084108010831100

@pigbrother:

У меня ведь добавлены phase 2.
Никак не привыкну к новому интерфейсу pfSense

В настройках OpenVPN server
добавьте в Advanced configuration
route 192.168.0.0 255.255.255.0
На вкладках
Firewall: Rules:IPsec
и
Firewall: Rules:OpenVPN

Оставьте пока по одному правилу

IPv4 * * * * * * none

Добавил так как на картинке. В правилах оставил только звездочки. Маршрут не виден на впн клиенте. Смотрел route print.

5,1vpn.jpg
5,1vpn.jpg_thumb

105610721084108010831100

Если добавить маршрут вручную(route ADD 192.168.0.0 MASK 255.255.255.0 10.0.9.1) на vpn-клиенте, то работает.

pigbrother

Маршрут не виден на впн клиенте.
Посмотрите лог клиента. Что в нем про добавление маршрутов? Если инфы мало - добавьте verb 3 в конфиг клиента.

1. Клиента запускаете с правами админа?
Если да -
2. Попробуйте убрать из Advanced configuration
route 192.168.0.0 255.255.255.0
а в настройках сервера в IPv4 Local Network/s
написать
192.168.0.0/24,192.168.5.0/24
т.е. все сети, к которым клиент должен получить маршрут

В любом случае на конфиг сервера можно посмотреть тут:
/var/etc/openvpn/serverX.conf
В нем должны быть записи вида
push "route 192.168.0.0 255.255.255.0"