Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PfSense. Клиенты OpenVPN не пингуют локальную сеть за PF.

    Scheduled Pinned Locked Moved Russian
    8 Posts 2 Posters 900 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      aleksandr.4apai
      last edited by

      Здравствуйте! Столкнулся с очень странной проблемой. Установил Pfsense. Настроил интерфейсы, настроил правила, настроил OpenVPN. Реализовал схем, файл схемы вложил.
      В правилах локальной сети разрешен любой обмен с сетью 10.10.2.0.
      В правилах OPenVPN разрешен вообще любой трафик.
      Таблица маршрутизации PsSense выглядит так:

      default	237.70.30.185	UGS	3554726	1500	alc0	
      10.10.1.0/24	link#2	U	4914267	1500	re0	
      10.10.1.1	link#2	UHS	0	16384	lo0	
      10.10.2.0/24	10.10.2.2	UGS	0	1500	ovpns1	
      10.10.2.1	link#7	UHS	0	16384	lo0	
      10.10.2.2	link#7	UH	24368	1500	ovpns1	
      127.0.0.1	link#3	UH	2672	16384	lo0	
      237.70.26.30	bc:ae:cc:2e:a1:bb	UHS	0	1500	alc0	
      237.70.30.184/29	link#1	U	182154	1500	alc0	
      237.70.30.189	link#1	UHS	0	16384	lo0	
      237.70.41.145	bc:ae:cc:2e:a1:bb	UHS	0	1500	alc0
      

      Клиент OpenVPN подключается к серверу и схема связи выглядит примерно так:
      ПК1: пингует внутренний интерфейс PFSence(10.10.1.1). В его таблице маршрутизации есть строчка которая выглядит так:
      10.10.1.0/24 via 10.10.2.1
      ПК2: пингует тунельный интерфейс OpenVPN сервера (10.10.2.1). Маршрут по умолчанию за 10.10.1.1.

      Но ПК друг друга не пингуют друг друга.

      Что я сделал не верно. Задача тривиальна, но что то не работает.

      ![????? OpenVPN.png](/public/imported_attachments/1/????? OpenVPN.png)
      ![????? OpenVPN.png_thumb](/public/imported_attachments/1/????? OpenVPN.png_thumb)
      general.PNG
      general.PNG_thumb
      tunnel.PNG
      tunnel.PNG_thumb

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        Доброго.
        Правила fw на vpn, lan покажите. И разрешите icmp на vpn-интерфейсе.

        1 Reply Last reply Reply Quote 0
        • A
          aleksandr.4apai
          last edited by

          @werter:

          Доброго.
          Правила fw на vpn, lan покажите. И разрешите icmp на vpn-интерфейсе.

          На интерфейсах openvpn и LAN разрешён весь трафик IPv4.

          Как показать fw?

          1 Reply Last reply Reply Quote 0
          • A
            aleksandr.4apai
            last edited by

            Для теста на всех интерфейсах включил и применил правило разрешающее прохождение любого трафика. Хосты не запинговались.  :-[

            1 Reply Last reply Reply Quote 0
            • werterW
              werter
              last edited by

              @aleksandr.4apai:

              Как показать fw?

              Берете фотик (внимание - только пленочный!). Открываете настройки правил fw. Фоткаете изображение монитора. Проявляете пленку. Печатаете фото. Сканируете. Выкладываете сканы тут. Но лучше и правильнее выслать фотки всем здесь зареганым по почте. После - ждете ответа.

              P.s. Не чудите. Скрины правил выкладывайте.

              1 Reply Last reply Reply Quote 0
              • A
                aleksandr.4apai
                last edited by

                @werter:

                @aleksandr.4apai:

                Скрины правил выкладывайте.

                Не в полном объеме усвоил терминологию PFsense. Но выше писал что добавил правило которое разрешило хождение любого трафика ipv4 - не получилось.
                Но скрины решил приложить(Это правило уже отключено). Никаких межсетевых экранов на хостах не включено. Почитал анлоязычную ветку openvpn. Нашел около 4 не решенных тем. На сколько я понимаю, она или очень простая или очень легкая…

                WAN.PNG
                WAN.PNG_thumb
                LAN.PNG
                LAN.PNG_thumb
                OpenVPN.PNG
                OpenVPN.PNG_thumb

                1 Reply Last reply Reply Quote 0
                • werterW
                  werter
                  last edited by

                  Доброго.

                  Но ПК друг друга не пингуют друг друга.

                  Какой локальный адрес у ПК1?
                  Что шлюзом у ПК2 (к-ый в сети пф) ? Должен быть пф.
                  Откл. на ПК2 антивирус и fw. В том числе и родной от MS.
                  Проверяйте.

                  Ps1. Я бы не использовал для vpn-сети адреса, похожие на адреса сети за пф. Запутаетесь. Используйте что-то типа 192.168.200.х или 172.32.100.х

                  Ps2. На скринах правил fw есть лишние или неверные.

                  1. Убрать.
                  2. Убрать. Дыра. Черная. Скайп прекрасно работает через TCP\443 (HTTPS). Ему этого вполне достаточно.
                  3. ОК.
                  4.  Это ж кто у нас в 2017 (!) году просто по SMTP TCP\25 работает ? Убрать это правило. Оставить только mail_secure.

                  И касаемо правила DNS (TCP\UDP 53). Для безопасности я бы все днс-запросы ( к-ые вовне) завернул на пф Firewall / NAT / Port Forward) .  Вот так :

                  И NTP туда же на реальные NTP серверы. Но можно вкл NTP-сервер на пф и также завернуть все ntp-запросы.

                  ![2017-11-13 11_19_32.png](/public/imported_attachments/1/2017-11-13 11_19_32.png)
                  ![2017-11-13 11_19_32.png_thumb](/public/imported_attachments/1/2017-11-13 11_19_32.png_thumb)
                  ![2017-11-13 11_29_56.png](/public/imported_attachments/1/2017-11-13 11_29_56.png)
                  ![2017-11-13 11_29_56.png_thumb](/public/imported_attachments/1/2017-11-13 11_29_56.png_thumb)
                  ![2017-11-13 11_36_41.png](/public/imported_attachments/1/2017-11-13 11_36_41.png)
                  ![2017-11-13 11_36_41.png_thumb](/public/imported_attachments/1/2017-11-13 11_36_41.png_thumb)

                  1 Reply Last reply Reply Quote 0
                  • werterW
                    werter
                    last edited by

                    Доброго.
                    Неплохая шпаргалка по директивам OpenVPN на русском - https://z11grun.blogspot.com/2017/09/openvpn.html

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.