Доступ в другую подсеть через OpenVPN.



  • Здравствуйте! подскажите как увидеть другие подсети через OpenVPN:

    • имеется настроенный OpenVPN сервер, когда подключаюсь вижу всю свою локальную сеть.
    • имеются еще семь удаленных подсетей которые я из своей локальной сети вижу, а вижу я их через КШ, на удаленной подсети стоит такой же КШ как и у меня.
      вопрос в том как мне увидеть эти подсети через OpenVPN, статический маршрут в эти подсети?
      в настройках OpenVPN Server в IPv4 Local network(s) указал через запятую эти подсети после своей локальной.
      пинга c pf в эти подсети нет, пробовал статический маршрут с указанием шлюза КШ и шлюза pf не помогло.


  • PfSense - шлюз по умолчанию для локальной этой сети?

    еще семь удаленных подсетей которые я из своей локальной сети вижу
    Как PC, с которого вы видите эти сети  получает маршруты в эти сети?



  • @pigbrother:

    PfSense - шлюз по умолчанию для локальной этой сети?

    еще семь удаленных подсетей которые я из своей локальной сети вижу
    Как PC, с которого вы видите эти сети  получает маршруты в эти сети?

    совсем забыл написать про MikroTik, вот схема.
    на другом конце (т.е в другой подсети стоит такой же КШ как у меня), судя по всему PC с которого я вижу эти подсети получает маршруты по средствам КШ, куда я зайти кстати не могу.




  • Доброе.
    Зачем КШ и МТ в вашей схеме ?



  • судя по всему PC с которого я вижу эти подсети получает маршруты по средствам КШ, куда я зайти кстати не могу.

    Ваш PC может получить эти маршруты:
    1. Если они вручную заданы через route add… или DHCP (маловероятно)
    Будут видны,  если в консоли Windows набрать
    route print -4
    в *nix
    netstat -rn
    2. Эти маршруты "знает" default gw сети (Микротик?)
    В Микротик смотреть маршруты так:
    /ip route print

    Т.О вопрос - где прописаны эти маршруты?

    Зачем КШ и МТ в вашей схеме ?
    Думаю - КШ - по указанию свыше.

    IMHO, либо pfSense либо Микротик в схеме - лишнее звено. Предположу, что pfSense используется только ради сквида и т.д.



  • @pigbrother:

    судя по всему PC с которого я вижу эти подсети получает маршруты по средствам КШ, куда я зайти кстати не могу.

    Ваш PC может получить эти маршруты:
    1. Если они вручную заданы через route add… или DHCP (маловероятно)
    Будут видны,  если в консоли Windows набрать
    route print -4
    в *nix
    netstat -rn
    2. Эти маршруты "знает" default gw сети (Микротик?)
    В Микротик смотреть маршруты так:
    /ip route print

    Т.О вопрос - где прописаны эти маршруты?

    Зачем КШ и МТ в вашей схеме ?
    Думаю - КШ - по указанию свыше.

    IMHO, либо pfSense либо Микротик в схеме - лишнее звено. Предположу, что pfSense используется только ради сквида и т.д.

    1. вручную через route add… ничего не прописывал.
    2. в ручную на PC прописан шлюз на сетевом интерфейсе (IP MT).
    3. на сервере DHCP указан Маршрутизатор IP pf, но в сетевых адаптерах PC в локальной сети от DHCP PC получают IP от MT. (вероятнее всего то что на MT настроены bridge pf и MT, настраивал не я)
    4. маршруты MT на скиншоте, как и выше на схеме указывал.
    5. КШ используется совершенно верно по указанию свыше.
    6. pf используется ради squid и openvpn (pf не убираю пока так как не знаю как блокировать контент в MT, так как сейчас на pf блокирует squid и squidguard).
    7. нужно наверное исключить что то одно из схемы, настроить прокси-сервер на MT, вот только с блокировкой контента пользователям заморочка, так как с этим железом не сталкивался еще, читал вроде что на MT блокируется все правилами, просто привык в pf блокировать squid и blacklist в squidguard.
    192.168.50.1 - КШ
    192.168.50.6 - pf
    192.168.50.40 - MT




  • Доброе.
    Упрощайте схему (исключайте все, что возможно и поговорите с нач-вом). Иначе проблем не оберетесь.



  • @werter:

    Доброе.
    Упрощайте схему (исключайте все, что возможно и поговорите с нач-вом). Иначе проблем не оберетесь.

    что вы подразумеваете под проблемами??? КШ я в любом случае убрать не смогу тут без разговоров, если только pf убрать подумываю и настроить все на MT.



  • На МТ есть аналог сквида, есть даже работающий L7, но грузить МТ это будет ощутимо.
    Гляжу на вашу непростую для понимания схему  ;) Что мешает добавить в pf еще одну сетевую, воткнуть туда КШ и рулить маршрутами на pf?
    Получите единый для сети gw без чудес ассиметричной маршрутизации.



  • @pigbrother:

    IMHO, либо pfSense либо Микротик в схеме - лишнее звено. Предположу, что pfSense используется только ради сквида и т.д.

    Микротик в таких схемах бывает не лишний - иногда при грамотном использовании позволяет избавиться от ассиметричной маршрутизации. Да и грузить pf и так чистым трафиком в другую сеть тоже лишнее.

    @pigbrother:

    Получите единый для сети gw без чудес ассиметричной маршрутизации.

    Скорее всего это не ассиметричная маршрутизация, а незнание КШ и/или Mikrotik о подсетях VPN на pfSense.
    Поробуйте включить исходящий NAT для VPN клиентов, если у вас pfSense с локальных интерфейсов общается к КШ без проблем.
    И NAT'ть в сторону подсетей за КШ скорее всего будет наиболее грамотным решением, поскольку даже если вы настроите локально правильно маршрутизацию pfSense-Mikrotik-КШ, то удаленные стороны могут ничего не знать о VPN сетях pfSense.



  • @PbIXTOP:

    @pigbrother:

    IMHO, либо pfSense либо Микротик в схеме - лишнее звено. Предположу, что pfSense используется только ради сквида и т.д.

    Микротик в таких схемах бывает не лишний - иногда при грамотном использовании позволяет избавиться от ассиметричной маршрутизации. Да и грузить pf и так чистым трафиком в другую сеть тоже лишнее.

    @pigbrother:

    Получите единый для сети gw без чудес ассиметричной маршрутизации.

    Скорее всего это не ассиметричная маршрутизация, а незнание КШ и/или Mikrotik о подсетях VPN на pfSense.
    Поробуйте включить исходящий NAT для VPN клиентов, если у вас pfSense с локальных интерфейсов общается к КШ без проблем.
    И NAT'ть в сторону подсетей за КШ скорее всего будет наиболее грамотным решением, поскольку даже если вы настроите локально правильно маршрутизацию pfSense-Mikrotik-КШ, то удаленные стороны могут ничего не знать о VPN сетях pfSense.

    включить исходящий NAT на чем pf или MT?