OpenVPN tap сервер и шлюз через удалёный pFsense



  • Всем привет.
    Сразу к сути.
    Есть pfsense, на нём по DDNS присваивается имя для удобства подключения openvpn клиентов, статический белый wan ip, VLAN и свич на 10 портов с настроенными на нём VLAN. С настройкой DDNS, VLAN, подключения к интернету и фаерволом проблем не возникает, всё работает как часы, а вот с OpenVPN есть не большой но не приятный косяк и как его исправить я не могу понять.

    На конце клиента сеть выглядит так.
    DSL Роутер 10.10.10.1/24
    Клиент 10.10.10.2/24
    Windows 7, антивируса нет, фаервол выключен.

    На pfsense.









    LAN это локальная сеть к которую должны попадать клиенты подключающиеся по openvpn и они в неё попадают потому что со стороны openvpn  клиента я вижу компьютеры которые находятся в 192.168.1.0/24 и мне присваивается ip от DHCP сервера который в локальной сети но трафик у клиента в это время всёравно идёт через клиентский интернет, а не через pfsense.
    Вот route print после подключения openvpn
    Вот трасировка до 8.8.8.8 после подключения openvpn
    Вот openvpn адаптер после подключения openvpn



    ping до компьютера в удалённой локальной сети через openvpn и до шлюза 192.168.1.100. Из локальной сети в которой роутером служит pfsense ip 192.168.1.100 нормально пингуется.

    Уже неделю бьюсь и не могу понять что я делаю не так.
    Надо чтобы клиент openvpn попадал в локальную сеть 192.168.1.0/24(это работает) и openvpn клиент получал доступ в интернет через openvpn(это НЕ работает).



  • Шлюзом по стандарту в клиенстком pfsense должен быть openvpn. в правилах firewall в openvpn вкладке должно быть разрешено хождение любого трафика. Нужно посмотреть, есть ли вообще в самом канале интернет. DNS руками прописать.
    Есть топик
    https://forum.pfsense.org/index.php?topic=59081.0

    В этой теме гдето после 6 страницы это обсуждалось.



  • Надо чтобы клиент openvpn попадал в локальную сеть 192.168.1.0/24(это работает) и openvpn клиент получал доступ в интернет через openvpn(это НЕ работает).

    Доброе.

    Правила на LAN покажите. Вы на клиенте впн запускаете от имени Адм-ра ? Это важно.



  • @Bansardo:

    Шлюзом по стандарту в клиенстком pfsense должен быть openvpn

    Спасибо что ответили. У клиента нет pfsense, у него простой openvpn клиент на windows 7.
    Тему сейчас почитаю.

    @werter:

    Правила на LAN покажите. Вы на клиенте впн запускаете от имени Адм-ра ? Это важно.

    Вот.

    AIRMAX_PPPOE не являлся wan с самого начала а стал им по ходу эксплуатации роутера.



  • UP PLZzzz

    @Bansardo:

    Шлюзом по стандарту в клиенстком pfsense должен быть openvpn. в правилах firewall в openvpn вкладке должно быть разрешено хождение любого трафика. Нужно посмотреть, есть ли вообще в самом канале интернет. DNS руками прописать.
    Есть топик
    https://forum.pfsense.org/index.php?topic=59081.0

    В этой теме гдето после 6 страницы это обсуждалось.

    Всю тему перечитал но моего случая так и не нашёл. Товарищи знатоки, подскажите что делать.



  • Для того, чтобы убить интернет у клиента на компе, на котором запущен клиент OVPN нужно его убивать на самом компе. Потому как он соединяется с Вашим сервером через этот интернет. Как вариант, управляемый через Control Center Касперский, либо просто запаролиованный касперский.
    Как второй вариант, брать роутер, на нем поднимать ВПН и подключать клиента к этому роутеру, а роутер к интернету.
    Третий вариант, зарулить 80 и 443 порты через шлюз VPN, а точнее через TAP Windows Adapter



  • @Bansardo:

    Для того, чтобы убить интернет у клиента на компе, на котором запущен клиент OVPN нужно его убивать на самом компе. Потому как он соединяется с Вашим сервером через этот интернет. Как вариант, управляемый через Control Center Касперский, либо просто запаролиованный касперский.
    Как второй вариант, брать роутер, на нем поднимать ВПН и подключать клиента к этому роутеру, а роутер к интернету.
    Третий вариант, зарулить 80 и 443 порты через шлюз VPN, а точнее через TAP Windows Adapter

    Неееееее. Это нет то что я хотел.
    Интернет не надо убивать. Надо его направить через удалённый pfsense.

    Вчера в 6 часов утра пришло озарение. Всё сделал и настроил.
    Получилось так.
    Сеть за pfsense 192.168.1.0/24 в которой есть комп 192.168.1.5 и сервер dhcp на pfsense, который раздаёт диапазон 192.168.1.150-192.168.1.254 шлюз 192.168.1.100 (это сам pfsense в локалке)
    У клиента через vpn присваивается адрес из локальной сети которая за pfsense, то есть 192.168.1.151 к примеру.
    Сервер 192.168.1.5 получается по трассировке в одном прыжке от vpn клиента, то есть ни каких маршрутизаций через тоннели нет и интернет у vpn клиента идёт через pfsense 192.168.1.100.
    Видео по настройке появится на канале, в ближайшие несколько дней.
    https://www.youtube.com/channel/UC-feZzXf8igOvfmGCdAgl5w



  • С описания ничего не понял. У Вас выдается адрес виртуальному интерфейсу. А в интернет ПК ходит по железному интерфейсу.
    С удовольствием посмотрю видео для повышения своей грамотности, так как вопрос для меня актуален.


Log in to reply