Ipsec+openvpn



  • Добрый день.
    Имеются 2 pfsense(pfsense1(lan192.168.5.0/24), pfsense2(lan192.168.0.0/24)), между ними ipsec.
    На  pfsense1 поднят openvpn(10.0.9.0/24).  Не могу попасть из сети 10.0.9.0/24 в сеть 192.168.0.0/24.
    Вроде все верно. Но что то не получается. Может подскажете что?










  • У меня работает такая конфигурация

    https://forum.pfsense.org/index.php?topic=53767.0
    Если коротко - на pf1 нужны  в IPSEC
    phase 2  между 192.168.5.0/24 и 192.168.0.0/24
    и еще одна
    phase 2 между 10.0.9.0/24 и 192.168.0.0/24

    и тогда на сервере Open VPN отработает

    push "route 192.168.0.0 255.255.255.0"

    P.S
    Если клиент Open VPN подключается, находясь где-то, где в локальной сети тоже используется 192.168.0.0/24 (а таких сетей большинство) - может получиться конфликт пересечения его локальной и удаленной сетей.




  • @pigbrother:

    https://forum.pfsense.org/index.php?topic=53767.0

    Если коротко - на pf1 нужны  в IPSEC
    phase 2  между 192.168.5.0/24 и 192.168.0.0/24
    и еще одна
    phase 2 между 10.0.9.0/24 и 192.168.0.0/24

    и тогда на сервере Open VPN отработает

    push "route 192.168.0.0 255.255.255.0"

    P.S
    Если клиент Open VPN подключается, находясь где-то, где в локальной сети тоже используется 192.168.0.0/24 (а таких сетей большинство) - может получиться конфликт пересечения локальной и удаленной сетей.

    У меня ведь добавлены phase 2.
    push "route 192.168.0.0 255.255.255.0"- вот это не понял. Нужно добавить маршрут вручную на машине, которая подключается к openvpnserver?



  • У меня ведь добавлены phase 2.
    Никак не привыкну к новому интерфейсу pfSense

    В настройках OpenVPN server
    добавьте в Advanced configuration
    route 192.168.0.0 255.255.255.0
    На вкладках
    Firewall: Rules:IPsec
    и
    Firewall: Rules:OpenVPN

    Оставьте пока по одному правилу

    IPv4 * * * * * * none



  • @pigbrother:

    У меня ведь добавлены phase 2.
    Никак не привыкну к новому интерфейсу pfSense

    В настройках OpenVPN server
    добавьте в Advanced configuration
    route 192.168.0.0 255.255.255.0
    На вкладках
    Firewall: Rules:IPsec
    и
    Firewall: Rules:OpenVPN

    Оставьте пока по одному правилу

    IPv4 * * * * * * none

    Добавил так как на картинке. В правилах оставил только звездочки. Маршрут не виден на впн клиенте. Смотрел route print.




  • Если добавить маршрут вручную(route ADD 192.168.0.0 MASK 255.255.255.0 10.0.9.1) на vpn-клиенте, то работает.



  • Маршрут не виден на впн клиенте.
    Посмотрите лог клиента. Что в нем про добавление маршрутов? Если инфы мало - добавьте verb 3 в конфиг клиента.

    1. Клиента запускаете с правами админа?
    Если да -
    2. Попробуйте убрать  из Advanced configuration
    route 192.168.0.0 255.255.255.0
    а в настройках сервера в IPv4 Local Network/s
    написать
    192.168.0.0/24,192.168.5.0/24
    т.е. все сети, к которым клиент должен получить маршрут

    В любом случае на конфиг сервера можно посмотреть тут:
    /var/etc/openvpn/serverX.conf
    В нем должны быть записи вида
    push "route 192.168.0.0 255.255.255.0"


Log in to reply