Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Доступ в другую подсеть через OpenVPN.

    Scheduled Pinned Locked Moved Russian
    11 Posts 4 Posters 2.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      Guf-Rolex-X
      last edited by

      Здравствуйте! подскажите как увидеть другие подсети через OpenVPN:

      • имеется настроенный OpenVPN сервер, когда подключаюсь вижу всю свою локальную сеть.
      • имеются еще семь удаленных подсетей которые я из своей локальной сети вижу, а вижу я их через КШ, на удаленной подсети стоит такой же КШ как и у меня.
        вопрос в том как мне увидеть эти подсети через OpenVPN, статический маршрут в эти подсети?
        в настройках OpenVPN Server в IPv4 Local network(s) указал через запятую эти подсети после своей локальной.
        пинга c pf в эти подсети нет, пробовал статический маршрут с указанием шлюза КШ и шлюза pf не помогло.
      1 Reply Last reply Reply Quote 0
      • P
        pigbrother
        last edited by

        PfSense - шлюз по умолчанию для локальной этой сети?

        еще семь удаленных подсетей которые я из своей локальной сети вижу
        Как PC, с которого вы видите эти сети  получает маршруты в эти сети?

        1 Reply Last reply Reply Quote 0
        • G
          Guf-Rolex-X
          last edited by

          @pigbrother:

          PfSense - шлюз по умолчанию для локальной этой сети?

          еще семь удаленных подсетей которые я из своей локальной сети вижу
          Как PC, с которого вы видите эти сети  получает маршруты в эти сети?

          совсем забыл написать про MikroTik, вот схема.
          на другом конце (т.е в другой подсети стоит такой же КШ как у меня), судя по всему PC с которого я вижу эти подсети получает маршруты по средствам КШ, куда я зайти кстати не могу.

          ??????????.jpg
          ??????????.jpg_thumb

          1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by

            Доброе.
            Зачем КШ и МТ в вашей схеме ?

            1 Reply Last reply Reply Quote 0
            • P
              pigbrother
              last edited by

              судя по всему PC с которого я вижу эти подсети получает маршруты по средствам КШ, куда я зайти кстати не могу.

              Ваш PC может получить эти маршруты:
              1. Если они вручную заданы через route add… или DHCP (маловероятно)
              Будут видны,  если в консоли Windows набрать
              route print -4
              в *nix
              netstat -rn
              2. Эти маршруты "знает" default gw сети (Микротик?)
              В Микротик смотреть маршруты так:
              /ip route print

              Т.О вопрос - где прописаны эти маршруты?

              Зачем КШ и МТ в вашей схеме ?
              Думаю - КШ - по указанию свыше.

              IMHO, либо pfSense либо Микротик в схеме - лишнее звено. Предположу, что pfSense используется только ради сквида и т.д.

              1 Reply Last reply Reply Quote 0
              • G
                Guf-Rolex-X
                last edited by

                @pigbrother:

                судя по всему PC с которого я вижу эти подсети получает маршруты по средствам КШ, куда я зайти кстати не могу.

                Ваш PC может получить эти маршруты:
                1. Если они вручную заданы через route add… или DHCP (маловероятно)
                Будут видны,  если в консоли Windows набрать
                route print -4
                в *nix
                netstat -rn
                2. Эти маршруты "знает" default gw сети (Микротик?)
                В Микротик смотреть маршруты так:
                /ip route print

                Т.О вопрос - где прописаны эти маршруты?

                Зачем КШ и МТ в вашей схеме ?
                Думаю - КШ - по указанию свыше.

                IMHO, либо pfSense либо Микротик в схеме - лишнее звено. Предположу, что pfSense используется только ради сквида и т.д.

                1. вручную через route add… ничего не прописывал.
                2. в ручную на PC прописан шлюз на сетевом интерфейсе (IP MT).
                3. на сервере DHCP указан Маршрутизатор IP pf, но в сетевых адаптерах PC в локальной сети от DHCP PC получают IP от MT. (вероятнее всего то что на MT настроены bridge pf и MT, настраивал не я)
                4. маршруты MT на скиншоте, как и выше на схеме указывал.
                5. КШ используется совершенно верно по указанию свыше.
                6. pf используется ради squid и openvpn (pf не убираю пока так как не знаю как блокировать контент в MT, так как сейчас на pf блокирует squid и squidguard).
                7. нужно наверное исключить что то одно из схемы, настроить прокси-сервер на MT, вот только с блокировкой контента пользователям заморочка, так как с этим железом не сталкивался еще, читал вроде что на MT блокируется все правилами, просто привык в pf блокировать squid и blacklist в squidguard.
                192.168.50.1 - КШ
                192.168.50.6 - pf
                192.168.50.40 - MT

                skrin.jpg
                skrin.jpg_thumb

                1 Reply Last reply Reply Quote 0
                • werterW
                  werter
                  last edited by

                  Доброе.
                  Упрощайте схему (исключайте все, что возможно и поговорите с нач-вом). Иначе проблем не оберетесь.

                  1 Reply Last reply Reply Quote 0
                  • G
                    Guf-Rolex-X
                    last edited by

                    @werter:

                    Доброе.
                    Упрощайте схему (исключайте все, что возможно и поговорите с нач-вом). Иначе проблем не оберетесь.

                    что вы подразумеваете под проблемами??? КШ я в любом случае убрать не смогу тут без разговоров, если только pf убрать подумываю и настроить все на MT.

                    1 Reply Last reply Reply Quote 0
                    • P
                      pigbrother
                      last edited by

                      На МТ есть аналог сквида, есть даже работающий L7, но грузить МТ это будет ощутимо.
                      Гляжу на вашу непростую для понимания схему  ;) Что мешает добавить в pf еще одну сетевую, воткнуть туда КШ и рулить маршрутами на pf?
                      Получите единый для сети gw без чудес ассиметричной маршрутизации.

                      1 Reply Last reply Reply Quote 0
                      • P
                        PbIXTOP
                        last edited by

                        @pigbrother:

                        IMHO, либо pfSense либо Микротик в схеме - лишнее звено. Предположу, что pfSense используется только ради сквида и т.д.

                        Микротик в таких схемах бывает не лишний - иногда при грамотном использовании позволяет избавиться от ассиметричной маршрутизации. Да и грузить pf и так чистым трафиком в другую сеть тоже лишнее.

                        @pigbrother:

                        Получите единый для сети gw без чудес ассиметричной маршрутизации.

                        Скорее всего это не ассиметричная маршрутизация, а незнание КШ и/или Mikrotik о подсетях VPN на pfSense.
                        Поробуйте включить исходящий NAT для VPN клиентов, если у вас pfSense с локальных интерфейсов общается к КШ без проблем.
                        И NAT'ть в сторону подсетей за КШ скорее всего будет наиболее грамотным решением, поскольку даже если вы настроите локально правильно маршрутизацию pfSense-Mikrotik-КШ, то удаленные стороны могут ничего не знать о VPN сетях pfSense.

                        1 Reply Last reply Reply Quote 0
                        • G
                          Guf-Rolex-X
                          last edited by

                          @PbIXTOP:

                          @pigbrother:

                          IMHO, либо pfSense либо Микротик в схеме - лишнее звено. Предположу, что pfSense используется только ради сквида и т.д.

                          Микротик в таких схемах бывает не лишний - иногда при грамотном использовании позволяет избавиться от ассиметричной маршрутизации. Да и грузить pf и так чистым трафиком в другую сеть тоже лишнее.

                          @pigbrother:

                          Получите единый для сети gw без чудес ассиметричной маршрутизации.

                          Скорее всего это не ассиметричная маршрутизация, а незнание КШ и/или Mikrotik о подсетях VPN на pfSense.
                          Поробуйте включить исходящий NAT для VPN клиентов, если у вас pfSense с локальных интерфейсов общается к КШ без проблем.
                          И NAT'ть в сторону подсетей за КШ скорее всего будет наиболее грамотным решением, поскольку даже если вы настроите локально правильно маршрутизацию pfSense-Mikrotik-КШ, то удаленные стороны могут ничего не знать о VPN сетях pfSense.

                          включить исходящий NAT на чем pf или MT?

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.