OpenVPN Server не видит сеть за клиентом
-
Привет. Имеем pfSense 2.2.6 и серверная сторона настроена на "Remote Access (SSL/TLS)". Клиентам выдаются серты и происходит подключение к серверу. Всё ок. Клиенты видят, пингуют хосты/ресурсы, которые им разрешены фаерволлом в серверной сети (192.168.0.0/20). Туннельная подсеть 10.10.10.0/24. Есть один клиент, который использует для подключения свой шлюз на CentOS, этот шлюз и все клиенты за ним (CentOS) отлично видят серверную сеть 192.168.0.0/20, но вот если с сервера OpenVPN делать пинг до клиентской сети (10.10.1.0/24) то ничего не пингается.
Статический маршрут ставил на клиентскую сеть. Со стороны клиента стоят вся разрешающие правила в iptables (FORWARD/INPUT/OUTPUT), даже маскарадинг влючен. Но IP отлично пингается, который получает клиент OpenVPN на CentOS (10.10.10.7).
Может ли быть такое, что режим OpenVPN сервера "Remote Access (SSL/TLS)" не позволяет видеть сеть за клиентом и для этого нужно использовать "Peer-to-Peer (SSL/TLS) или нет?
Спасибо! -
Может ли быть такое, что режим OpenVPN сервера "Remote Access (SSL/TLS)" не позволяет видеть сеть за клиентом и для этого нужно использовать "Peer-to-Peer (SSL/TLS) или нет?
Нет. Remote Access (SSL/TLS) просто богаче настройками. У меня один из серверов работает как Remote Access (SSL/TLS + User Auth), сеть за ним доступна.
Статический маршрут и маскрадинг - не нужны, все делается средствами самого Open VPN.
https://forum.pfsense.org/index.php?topic=125739.msg701280#msg701280
-
Правильно ли сделал? Пожалуйста, посмотрите скриншоты.
-
Если сервер в режиме Remote Access (SSL/TLS) нужно добавить в Advanced Configuration сервера
route 10.10.1.0 255.255.255.0
Т.к для режима Remote Access (SSL/TLS) в настройках сервера отсутствует возможность ввода IPv4 Remote network(s),
а без этой записи сервер не имеет маршрута в сеть за клиентом.По второму скриншоту - да, это эквивалентно iroute в Advanced в Client Specific Overrides
-
Если сервер в режиме Remote Access (SSL/TLS) нужно добавить в Advanced Configuration сервера
route 10.10.1.0 255.255.255.0
Т.к для режима Remote Access (SSL/TLS) в настройках сервера отсутствует возможность ввода IPv4 Remote network(s),
а без этой записи сервер не имеет маршрута в сеть за клиентом.По второму скриншоту - да, это эквивалентно iroute в Advanced в Client Specific Overrides
Спасибо вам огромное, добрый человек!
Пинги пошли на клиентскую сеть!
И это все решилось одной записью в Advanced configuration сервера:
route 10.10.1.0 255.255.255.0
Заметил то, что после этой записи создались две новых записи в таблице маршрутизации сервера OpenVPN:
Destination Gateway Flags Netif Expire10.10.1.0/24 10.10.10.2 UGS ovpns1
10.10.10.1 link#9 UHS lo0
10.10.10.2 link#9 UH ovpns110.10.10.2 - непонятный хост, откуда он? Он даже не пингается. Может виртуальный саб-интерфейс самого OpenVPN'a какой-нибудь?
-
И это все решилось одной записью в Advanced configuration сервера:
Благодаря вам вспомнил, что в настройках сервера в режиме Remote Access (SSL/TLS) отсутствует возможность ввода IPv4 Remote network(s) и для превращения "клиентского" сервера Remote Access в полноценный peer to peer\site-to-site необходима запись вида
route 10.10.1.0 255.255.255.0
в
Advanced configuration сервера.10.10.10.2 - непонятный хост, откуда он? Он даже не пингается. Может виртуальный саб-интерфейс самого OpenVPN'a какой-нибудь?
Это нормально (C). У меня такие тоже есть. Правда - пингуются.
Не помню, есть ли в 2.2.6 в настройках сервера Topology?
Вероятно выш сервер работает с туннельной сетью в режиме net 30, тогда 10.10.10.2 - промежуточный IP серверного конца туннеля. -
Да, в 2.2.6 есть такая функция (см. скриншот).
Судя по её настройке (галочке), мой сервер работает в топологии "subnet"
-
Да, у вас subnet.
-
Прошу помочь разобраться, почему трафик ходит в одностороннем порядке между сетями, проброшенными через туннель
Версия pfsense 2.3.3-RELEASE-p1 (amd64)
built on Thu Mar 09 07:17:41 CST 2017
FreeBSD 10.3-RELEASE-p17Подянт Сервер ОВПН
Peer to Peer (Shared Key)
UDP
tun
WAN
1194tunnel 10.10.2.0/24
IPv4 Remote network 192.168.0.0/24
На клиенте следущее
Peer to Peer (Shared Key)
UDP
tun
WAN
local port пусто
server host xxx.xxx.xxx.xxx
server port 1194
tunnel 10.10.2.0/24
IPv4 Remote network 192.168.2.0/24Туннель замечательно поднимается
настройки файервола на сервере (без учета дефолтных)
WAN:
IPv4 UDP * * WAN address 1194 (OpenVPN) * none
LAN:
IPv4* * * * * * none
OpenVPN:
IPv4* * * * * * noneнастройки файервола на клиенте (без учета дефолтных)
WAN:LAN:
IPv4* * * * * * none
OpenVPN:
IPv4* * * * * * noneиз сети 192.168.0.0/24 видится сеть 192.168.2.0/24
а из сети 192.168.2.0/24 не видится сеть 192.168.0.0/24, притом из сети 192.168.2.0 можно пинговать внутренний интерфейс роутера 192.168.0.3
Трасероуте внутренней машины с оключенным файерволом с клиента
1 10.10.2.1 81.034 ms 80.888 ms 80.990 ms
2 192.168.2.5 81.350 ms 81.341 ms 81.275 ms
Трасероуте внутренней машины с оключенным файерволом(192.168.0.1) с сервера
1 10.10.2.2 81.029 ms 80.998 ms 80.980 ms
2 * * *Менял ролями клинетскую машину и серверную - какая-то проблема именно с уходом трафика в сеть 192.168.0.0/24, притом, что сама машина с внутренним ип 192.168.0.3 прекрасно пингует всю сеть 192.168.0.0/24
Подскажите где копать..
Routing Server
Destination Gateway Flags Use Mtu Netif Expire
default xxx.xxx.xxx.xxx UGS 4662 1500 re0
10.10.2.1 link#8 UHS 0 16384 lo0
10.10.2.2 link#8 UH 6 1500 ovpns2
xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx UGHS 0 1500 re0
127.0.0.1 link#7 UH 24 16384 lo0
192.168.0.0/24 10.10.2.2 UGS 717 1500 ovpns2
192.168.2.0/24 link#3 U 135611 1500 re2
192.168.2.1 link#3 UHS 0 16384 lo0
xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx UGHS 0 1500 re0
xxx.xxx.xxx.xxx/30 link#1 U 5837 1500 re0
xxx.xxx.xxx.xxx link#1 UHS 0 16384 lo0Routing client
Destination Gateway Flags Use Mtu Netif Expire
default xxx.xxx.xxx.xxx UGS 32010 1500 re0
10.10.2.1 link#8 UH 18 1500 ovpnc1
10.10.2.2 link#8 UHS 0 16384 lo0
127.0.0.1 link#7 UH 2423 16384 lo0
192.168.0.0/24 link#3 U 6123 1500 re2
192.168.0.3 link#3 UHS 0 16384 lo0
192.168.2.0/24 10.10.2.1 UGS 7 1500 ovpnc1
xxx.xxx.xxx.xxx/30 link#1 U 25194 1500 re0
xxx.xxx.xxx.xxx link#1 UHS 0 16384 lo0 -
Доброе.
В кач-ве клиента pf ?
1. Шлюзом у всех машин в обеих сетях должны быть их pf. Проверяйте.
2. При Peer to Peer (Shared Key) сеть за клиентом видна не будет. Переходите на Remote access . После перехода - добавляйте директиву iroute на сервере в Client specific overrides.В гугле это звучит так - Не видно сеть за клиентом Openvpn.
-
Доброе.
В кач-ве клиента pf ?
1. Шлюзом у всех машин в обеих сетях должны быть их pf. Проверяйте.
2. При Peer to Peer (Shared Key) сеть за клиентом видна не будет. Переходите на Remote access . После перехода - добавляйте директиву iroute на сервере в Client specific overrides.В гугле это звучит так - Не видно сеть за клиентом Openvpn.
Добрый день!
клиентские машины с ОС WIN во внутренних сетях с каждой стороны туннеля.
1: шлюзами у них выступают pf в своих сетях
Офис: ОС Вин1 192.168.0.254/24 gw(адрес pf1) 192.168.0.3/24
Филиал: ОС Вин2 192.168.2.5/24 gw(адрес pf2) 192.168.2.1/24
2: буду пробоватьПробовалось 3 варианты работы с/без вариантами записей в Client specific overrides:
1: pf1 - server OpenVPN, pf2 - client OpenVPN
2: двойной туннель - каждый pf и клиент и сервер
3: pf1 - client OpenVPN, pf2 - server OpenVPNИнтерес ситуации в том, что во всех вариантах ОС Вин1 допингивается и трассируется до ОС Вин2,
а вот наоборот ОС Вин2 не видит ОС Вин1. пинги глохнут, трассерт доходит до внутреннего адреса туннеля со стороны ОС Вин1 и далее глохнет. Зато 192.168.0.3 пингуется и трассируется.(Сам 192.168.0.3 пингует все машины своей сети и ОС Вин1 в частности)
Уже думаем, что косяк в машине на стороне офиса, хотя железо новое, опробую сначала старенькую машинку с тем же конфигом pf закинуть на сторону офиса. Далее уже буду пробовать вторую рекомендацию.
Спасибо за ответ. Отпишусь как что получится -
На всякий случай - брандмауэр на проблемной машине выключен?
-
На всякий случай - брандмауэр на проблемной машине выключен?
Выключен. Пробовалось, притом, до 5-и разных ПК.
-
Попробуйте на LAN каждого PF добавить выше остальных по правилу:
IPv4 * LAN net * a.a.a.0/24 * * none
где
x.x.x.x/24 - сеть за удаленным pf. -
На всякий случай - брандмауэр на проблемной машине выключен?
Выключен. Пробовалось, притом, до 5-и разных ПК.
Доброго вечера!
Как мне и представлялось - решение было очень простым и не стоило за ним лезть сюда на форум…
Косяк мой оказался в том, что я отключение виндовозного брандмауэра почему-то приравнял к включению сетевого обнаружения для всех профилей (доменный, частный, публичный), а все 5 машин - винда 7... Вот когда его на самом деле отрубил - все заработало.
Так что всех с Пасхой и отвечавшим спасибо за помощь. Действующий конфиг оказался рабочим.В дополнение добавлю, что со включенным брандмауэром в винде пинги стали ходить, если включить во входящих политиках "Общий доступ к файлам и принтерам..." - все вкладки в дефолте, а во вкладке Область в поле "удаленный IP адрес" добавить внутреннюю подсеть туннеля"
-
в поле "удаленный IP адрес" добавить внутреннюю подсеть туннеля"
По идее - должна быть указана сеть за удаленным pfSense.
-
в поле "удаленный IP адрес" добавить внутреннюю подсеть туннеля"
По идее - должна быть указана сеть за удаленным pfSense.
Да, верное уточнение. Проверял с удаленного pfSense - он автоматом выбрал более близкую сеть - ВПН. Её прописал и успокоился =), а если у него же источником выбирать LAN, то на конечном ПК нужно прописывать сеть за удаленным pfSense, что именно и требуется…
-
Адресами сети туннеля в случае site-to-site без необходимости пользоваться не стоит.
