Странные маршруты после настройки OpenVPN
-
Доброго всем времени.
Есть pfSense 2.3.4 с настроенным сервером OpenVPN client-to-site. Клиентам выдаются ip адреса из подсети 10.22.15.0/24. После первого подключения к Серверу по OpenVPN в Diagnistics - Routes появился странный маршрут (выделен красным на прикрепленной картинке). При подключении и отключении клиента маршруты не меняются, все остается как на скриншоте. После перезагрузки то же самое. Если остановить службу OpenVPN (Status - OpenVPN - Stop service) то маршруты, отмеченные желтым, пропадают. При запуске появляются снова. Объясните, пожалуйста, как такое может быть? И нормально ли это? При настройке OpenVPN как сервера под Windows ничего подобного не наблюдал.
-
И чем эти маршруты странны? Системе нужно знать куда слать пакеты клиентам, отсюда и маршрут в туннельную сеть, которую вы сами задали при создании сервера.
Вот пример с одного из моих серверов Remote Access с туннельной сетью 10.11.11.0/24:10.11.11.0/24 10.11.11.1 UGS 3596414 1500 ovpns5
10.11.11.1 link#12 UHS 0 16384 lo0
10.11.11.2 link#12 UH 188603 1500 ovpns5 -
И чем эти маршруты странны?
Обычно openVPN выделяет первый ip адрес из диапазона для сервера, остальные для клиентов. В моем случае адрес сервера 10.22.15.1, в вашем, предполагаю, 10.11.11.1. И в том, что у вас в маршруте в подсеть 10.11.11.0/24 шлюзом прописан 10.11.11.1 меня ничего не удивляет. Но в моем случае шлюзом прописан 10.22.15.2, это адрес КЛИЕНТА, и именно это мне кажется странным. С остальными маршрутами все в порядке.
-
Чтож, тоже возникли вопросы:
Мой вывод ifconfig для этого сервера:ovpns5: flags=8051 <up,pointopoint,running,multicast>metric 0 mtu 1500
inet 10.11.11.1 –> 10.11.11.2 netmask 0xffffff00Те шлюзом является 10.11.11.2. Однако в это же время на линии активен клиент с адресом 10.11.11.2
username x.x.x.176:1194
Wed May 10 09:15:08 2017 10.11.11.2Что скажет ваш ifconfig?
(Diagnostics->Command Prompt)</up,pointopoint,running,multicast> -
ovpns1: flags=8051 <up,pointopoint,running,multicast>metric 0 mtu 1500 options=80000 <linkstate>inet6 fe80::215:5dff:fea6:5505%ovpns1 prefixlen 64 scopeid 0x7 inet 10.22.15.1 --> 10.22.15.2 netmask 0xffffff00 nd6 options=21 <performnud,auto_linklocal></performnud,auto_linklocal></linkstate></up,pointopoint,running,multicast>
Т. е. это нормальная ситуация?
-
Если все работает как надо, думаю - да. :)
С Ipsec еще интереснее. Ни интерфейсов, ни маршрутов, но все работает.