Не запускается OpenVPN клиент внутри локальной



  • Добрый день. Ситуация такая:

    Клиенту поставили pfSense. Внешний адрес 95.x.x.x, локальная подсеть 10.10.10.0/24.
    Я создал клиентов OpenVPN для ещё 10 удалённых офисов, выгрузил их, поставил, все соединения с OpenVPN сервером успешны.

    И только один клиент, который сидит внутри 10.10.10.0/24 не может соединиться с OpenVPN сервером.

    Wed Oct 25 07:44:17 2017 OpenVPN 2.4.4 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Sep 26 2017
    Wed Oct 25 07:44:17 2017 Windows version 6.1 (Windows 7) 64bit
    Wed Oct 25 07:44:17 2017 library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.10
    Enter Management Password:
    Wed Oct 25 07:44:18 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]95.X.X.X:1194
    Wed Oct 25 07:44:18 2017 UDP link local (bound): [AF_INET][undef]:1194
    Wed Oct 25 07:44:18 2017 UDP link remote: [AF_INET]95.X.X.X:1194
    Wed Oct 25 07:45:18 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    Wed Oct 25 07:45:18 2017 TLS Error: TLS handshake failed
    Wed Oct 25 07:45:18 2017 SIGUSR1[soft,tls-error] received, process restarting
    Wed Oct 25 07:47:19 2017 SIGTERM[hard,] received, process exiting
    

    Сделано:
    → Разные версии клиента 2.3., 2.4. - результата нет
    → Удалены и добавлены заново TAP интерфейсы
    → Пробовал запускать через GUI и службу
    → Удалял и создавал заново пользователей OpenVPN
    → Пересоздавал клиентские сертификаты

    Ничего не помогло.

    У другого клиента точно такая же конфигурация и все клиенты за pfSense без проблем подключаются к OpenVPN серверу.

    Есть какие-то мысли?



  • Доброе.
    И не будет. Вы изнутри сети цеплятесь на внешний адрес этой же сети.



  • @werter:

    Доброе.
    И не будет. Вы изнутри сети цеплятесь на внешний адрес этой же сети.

    Я бы с Вами согласился, если бы у другого клиента несколько ПК не цеплялись к OpenVPN серверу из внутренней сети на внешний IP. Сам тогда был удивлён. Никаких доп. маршрутов я не настраивал.
    На основании этого я и предполагал, что всё должно работать таким образом.



  • На основании этого я и предполагал, что всё должно работать таким образом.
    Оно может работать, но не обязано. У клиента получается 2 маршрута в сеть 10.10.10.0/24 - заданный для LAN, и получаемый через OpenVPN. И уже от конкретной ОС будет зависеть метрику какого маршрута она посчитает приоритетной.
    Можно, наверное, поиграть метриками или использовать то, что называется "узкая маска приоритетней"
    http://forum.sources.ru/index.php?showtopic=116134

    Но правильным будет избежать пересечения подсетей.



  • Сам столкнулся с подобным недели две назад, попробуйте Interfaces -> WAN -> Block private networks and loopback addresses  (убрать галочку).



  • Спасибо за помощь всем! В локалке просто буду указывать локальный адрес pfSense. Так всё работает.


Log in to reply