Нужна помощь по вопросу Site-to-Site OpenVPN



  • Добрый день, в сети и на данном форуме полно информации об организации соединения разных подсетей по методу Site-to-Site PKI между двумя pfSense маршрутизаторами. Но я к сожалению так  и не нашел исчерпывающего ответа на свой вопрос: возможно ли Site-to-Site соединение, если pfSense установлен только на OpenVPN сервер, а клиентом выступает отличная от него ОС, как варианты: голая FreeBSD или виндовый маршрутизатор. При использовании в качестве OpenVPN сервера голой FreeBSD подобной проблемы у меня не возникало. ОЧЕНЬ важно разобраться в данном вопросе. Помогите пожалуйста.



  • В pfSense полноценно реализован Open VPN,  клиентом может быть любая ОС\устройство с поддержкой Open VPN.
    У меня клиенты - pfSense, Windows, Apple, Android, роутеры Mikrotik и xWRT.

    Некоторые устройства могут обладать усеченным функционалом Open VPN и настройки Open VPN сервера нужно корректировать на стороне pfSense.



  • @pigbrother:

    В pfSense полноценно реализован Open VPN,  клиентом может быть любая ОС\устройство с поддержкой Open VPN.
    У меня клиенты - pfSense, Windows, Apple, Android, роутеры Mikrotik и xWRT.

    Некоторые устройства могут обладать усеченным функционалом Open VPN и настройки Open VPN сервера нужно корректировать на стороне pfSense.

    Собственное нет никаких проблем с организацией подключения к OVPN серверу, который работает в режиме Remote Access - подключаюсь легко, но не могу подключиться из под винды к OVPN на pfSense, который работает в режиме Site-to-Site PKI, а именно это мне и нужно, ибо нужно связать несколько подсетей, где маршрутизаторы на разных осях.



  • 1. Подключить road-warrior клиента к Site-to-Site PKI, думаю, возможно, смотрите конфиг клиента.
    2. Возможно и использовать  сервер в режиме Remote Access  и получить Site-to-Site, сам пользуюсь такой конфигурацией.
    3. Можно поднять несколько экземпляров Open VPN сервера на pfSense, между ними прекрасно работает маршрутизация средствами самого Open VPN.



  • @pigbrother:

    1. Подключить road-warrior клиента к Site-to-Site PKI, думаю, возможно, смотрите конфиг клиента.
    2. Возможно и использовать  сервер в режиме Remote Access  и получить Site-to-Site, сам пользуюсь такой конфигурацией.
    3. Можно поднять несколько экземпляров Open VPN сервера на pfSense, между ними прекрасно работает маршрутизация средствами самого Open VPN.

    Если рассматривать 2 вариант: даст ли дирректива iroute для клиента подключенного к RA серверу, доступ к подсети за этим клиентом?



  • @Shoar:

    @pigbrother:

    1. Подключить road-warrior клиента к Site-to-Site PKI, думаю, возможно, смотрите конфиг клиента.
    2. Возможно и использовать  сервер в режиме Remote Access  и получить Site-to-Site, сам пользуюсь такой конфигурацией.
    3. Можно поднять несколько экземпляров Open VPN сервера на pfSense, между ними прекрасно работает маршрутизация средствами самого Open VPN.

    Если рассматривать 2 вариант: даст ли дирректива iroute для клиента подключенного к RA серверу, доступ к подсети за этим клиентом?

    Именно!

    • 1 момент. Сервер в режиме Remote Access не имеет в настройках поля IPv4 Remote network(s).
      Поэтому помимо использования iroute необходимо вписать в Advanced Configuration
      route a.a.a.a 255.255.255.0
      где  a.a.a.a - сеть за клиентом.


  • Спасибо большое. С вашей помощью разобрался в вопросе, все работает как надо.


 

© Copyright 2002 - 2018 Rubicon Communications, LLC | Privacy Policy