OpenVPN PSK



  • Создал себе лабу на тему "обеспечиваем связь филиалов друг с другом" из инструкции https://forum.pfsense.org/index.php?topic=58846.0
    Имеется
    esxi 6.5
    На нем 3 pf'a
    1. Сервер
    wan 10.20.10.160
    lan 10.0.51.0/24
    2. Клиент 1
    wan 10.20.10.161
    lan 10.0.52.0/24
    3. Клиент 2
    wan 10.20.10.162
    lan 10.0.53.0/24

    1. pf1 (сервер OpenVPN):
    клиент 1
    port 1201
    IPv4 Tunnel Network 10.0.98.0/24
    IPv4 Remote network(s) 10.0.52.0/24

    клиент2
    port 1202
    IPv4 Tunnel Network 10.0.99.0/24
    IPv4 Remote network(s) 10.0.53.0/24

    2. pf2 (клиент OpenVPN)
    Server host or address 10.20.10.160
    Server port 1201
    IPv4 Tunnel Network 10.0.98.0/24
    IPv4 Remote network(s) 10.0.51.0/24
    push "route 10.0.53.0 255.255.255.0"

    3. pf3 (клиент OpenVPN)
    Server host or address 10.20.10.160
    Server port 1202
    IPv4 Tunnel Network 10.0.99.0/24
    IPv4 Remote network(s) 10.0.51.0/24
    push "route 10.0.52.0 255.255.255.0"

    VPN поднимается и из сервера (10.0.51.1) пингуются оба клиента (10.0.52.1 и 10.0.53.1), клиенты (10.0.52.1 и 10.0.53.1) пингуют сервер (10.0.51.1), но друг друга клиенты (10.0.52.1 и 10.0.53.1) не пингуют. Вроде все как в мануале сделал.

    Изменения в настройках:
    System/Advanced/Firewall & NAT
    NAT Reflection mode for port forwards NAT + proxy
    Enable NAT Reflection for 1:1 NAT галка стоит
    Enable automatic outbound NAT for Reflection галка стоит

    System/Advanced/Networking
    Network Interfaces везде галки кроме ARP Handling

    Правила:

    Данные настройки на всех трех pf'ах
    В чем я ошибся?



  • Доброе.
    В настр. fw на клиентах создайте явное разр. правило для прохождения всего трафика в удален. сеть др. клиента. Поставьте это правило выше всех.




  • Так? не совсем понимаю как именно это сделать



  • Нет. Удаляйте.
    На LAN. В src будет LAN subnet , в dest - удаленная сеть.



  • Клиент 1 и клиент 2

    Не работает



  • Т.е. у вас один впн-сервер и неск. клиентов ? Или на пф-е, к-ый сервер, поднято неск. впн-сервисов и каждый клиент подкл. к своему впн (зачем ?) ?

    Если вар.1 , то галку в настр. впн-сервера на Inter-client communication



  • 2й вариант. пол года назад настроил именно так и все работало, без заморочек с сертификатами



  • В общем завелось все в режиме PKI, вот только ничего не работало до тех пор пока не догадался офнуть/включить заново клиенты


Log in to reply