OpenVPN PSK
-
Создал себе лабу на тему "обеспечиваем связь филиалов друг с другом" из инструкции https://forum.pfsense.org/index.php?topic=58846.0
Имеется
esxi 6.5
На нем 3 pf'a
1. Сервер
wan 10.20.10.160
lan 10.0.51.0/24
2. Клиент 1
wan 10.20.10.161
lan 10.0.52.0/24
3. Клиент 2
wan 10.20.10.162
lan 10.0.53.0/241. pf1 (сервер OpenVPN):
клиент 1
port 1201
IPv4 Tunnel Network 10.0.98.0/24
IPv4 Remote network(s) 10.0.52.0/24клиент2
port 1202
IPv4 Tunnel Network 10.0.99.0/24
IPv4 Remote network(s) 10.0.53.0/242. pf2 (клиент OpenVPN)
Server host or address 10.20.10.160
Server port 1201
IPv4 Tunnel Network 10.0.98.0/24
IPv4 Remote network(s) 10.0.51.0/24
push "route 10.0.53.0 255.255.255.0"3. pf3 (клиент OpenVPN)
Server host or address 10.20.10.160
Server port 1202
IPv4 Tunnel Network 10.0.99.0/24
IPv4 Remote network(s) 10.0.51.0/24
push "route 10.0.52.0 255.255.255.0"VPN поднимается и из сервера (10.0.51.1) пингуются оба клиента (10.0.52.1 и 10.0.53.1), клиенты (10.0.52.1 и 10.0.53.1) пингуют сервер (10.0.51.1), но друг друга клиенты (10.0.52.1 и 10.0.53.1) не пингуют. Вроде все как в мануале сделал.
Изменения в настройках:
System/Advanced/Firewall & NAT
NAT Reflection mode for port forwards NAT + proxy
Enable NAT Reflection for 1:1 NAT галка стоит
Enable automatic outbound NAT for Reflection галка стоитSystem/Advanced/Networking
Network Interfaces везде галки кроме ARP HandlingПравила:
Данные настройки на всех трех pf'ах
В чем я ошибся? -
Доброе.
В настр. fw на клиентах создайте явное разр. правило для прохождения всего трафика в удален. сеть др. клиента. Поставьте это правило выше всех. -
Так? не совсем понимаю как именно это сделать -
Нет. Удаляйте.
На LAN. В src будет LAN subnet , в dest - удаленная сеть. -
Клиент 1 и клиент 2
Не работает -
Т.е. у вас один впн-сервер и неск. клиентов ? Или на пф-е, к-ый сервер, поднято неск. впн-сервисов и каждый клиент подкл. к своему впн (зачем ?) ?
Если вар.1 , то галку в настр. впн-сервера на Inter-client communication
-
2й вариант. пол года назад настроил именно так и все работало, без заморочек с сертификатами
-
В общем завелось все в режиме PKI, вот только ничего не работало до тех пор пока не догадался офнуть/включить заново клиенты
