PfSense. Клиенты OpenVPN не пингуют локальную сеть за PF.



  • Здравствуйте! Столкнулся с очень странной проблемой. Установил Pfsense. Настроил интерфейсы, настроил правила, настроил OpenVPN. Реализовал схем, файл схемы вложил.
    В правилах локальной сети разрешен любой обмен с сетью 10.10.2.0.
    В правилах OPenVPN разрешен вообще любой трафик.
    Таблица маршрутизации PsSense выглядит так:

    default	237.70.30.185	UGS	3554726	1500	alc0	
    10.10.1.0/24	link#2	U	4914267	1500	re0	
    10.10.1.1	link#2	UHS	0	16384	lo0	
    10.10.2.0/24	10.10.2.2	UGS	0	1500	ovpns1	
    10.10.2.1	link#7	UHS	0	16384	lo0	
    10.10.2.2	link#7	UH	24368	1500	ovpns1	
    127.0.0.1	link#3	UH	2672	16384	lo0	
    237.70.26.30	bc:ae:cc:2e:a1:bb	UHS	0	1500	alc0	
    237.70.30.184/29	link#1	U	182154	1500	alc0	
    237.70.30.189	link#1	UHS	0	16384	lo0	
    237.70.41.145	bc:ae:cc:2e:a1:bb	UHS	0	1500	alc0
    

    Клиент OpenVPN подключается к серверу и схема связи выглядит примерно так:
    ПК1: пингует внутренний интерфейс PFSence(10.10.1.1). В его таблице маршрутизации есть строчка которая выглядит так:
    10.10.1.0/24 via 10.10.2.1
    ПК2: пингует тунельный интерфейс OpenVPN сервера (10.10.2.1). Маршрут по умолчанию за 10.10.1.1.

    Но ПК друг друга не пингуют друг друга.

    Что я сделал не верно. Задача тривиальна, но что то не работает.

    ![????? OpenVPN.png](/public/imported_attachments/1/????? OpenVPN.png)
    ![????? OpenVPN.png_thumb](/public/imported_attachments/1/????? OpenVPN.png_thumb)





  • Доброго.
    Правила fw на vpn, lan покажите. И разрешите icmp на vpn-интерфейсе.



  • @werter:

    Доброго.
    Правила fw на vpn, lan покажите. И разрешите icmp на vpn-интерфейсе.

    На интерфейсах openvpn и LAN разрешён весь трафик IPv4.

    Как показать fw?



  • Для теста на всех интерфейсах включил и применил правило разрешающее прохождение любого трафика. Хосты не запинговались.  :-[



  • @aleksandr.4apai:

    Как показать fw?

    Берете фотик (внимание - только пленочный!). Открываете настройки правил fw. Фоткаете изображение монитора. Проявляете пленку. Печатаете фото. Сканируете. Выкладываете сканы тут. Но лучше и правильнее выслать фотки всем здесь зареганым по почте. После - ждете ответа.

    P.s. Не чудите. Скрины правил выкладывайте.



  • @werter:

    @aleksandr.4apai:

    Скрины правил выкладывайте.

    Не в полном объеме усвоил терминологию PFsense. Но выше писал что добавил правило которое разрешило хождение любого трафика ipv4 - не получилось.
    Но скрины решил приложить(Это правило уже отключено). Никаких межсетевых экранов на хостах не включено. Почитал анлоязычную ветку openvpn. Нашел около 4 не решенных тем. На сколько я понимаю, она или очень простая или очень легкая…








  • Доброго.

    Но ПК друг друга не пингуют друг друга.

    Какой локальный адрес у ПК1?
    Что шлюзом у ПК2 (к-ый в сети пф) ? Должен быть пф.
    Откл. на ПК2 антивирус и fw. В том числе и родной от MS.
    Проверяйте.

    Ps1. Я бы не использовал для vpn-сети адреса, похожие на адреса сети за пф. Запутаетесь. Используйте что-то типа 192.168.200.х или 172.32.100.х

    Ps2. На скринах правил fw есть лишние или неверные.

    1. Убрать.
    2. Убрать. Дыра. Черная. Скайп прекрасно работает через TCP\443 (HTTPS). Ему этого вполне достаточно.
    3. ОК.
    4.  Это ж кто у нас в 2017 (!) году просто по SMTP TCP\25 работает ? Убрать это правило. Оставить только mail_secure.

    И касаемо правила DNS (TCP\UDP 53). Для безопасности я бы все днс-запросы ( к-ые вовне) завернул на пф Firewall / NAT / Port Forward) .  Вот так :

    И NTP туда же на реальные NTP серверы. Но можно вкл NTP-сервер на пф и также завернуть все ntp-запросы.

    ![2017-11-13 11_19_32.png](/public/imported_attachments/1/2017-11-13 11_19_32.png)
    ![2017-11-13 11_19_32.png_thumb](/public/imported_attachments/1/2017-11-13 11_19_32.png_thumb)
    ![2017-11-13 11_29_56.png](/public/imported_attachments/1/2017-11-13 11_29_56.png)
    ![2017-11-13 11_29_56.png_thumb](/public/imported_attachments/1/2017-11-13 11_29_56.png_thumb)
    ![2017-11-13 11_36_41.png](/public/imported_attachments/1/2017-11-13 11_36_41.png)
    ![2017-11-13 11_36_41.png_thumb](/public/imported_attachments/1/2017-11-13 11_36_41.png_thumb)



  • Доброго.
    Неплохая шпаргалка по директивам OpenVPN на русском - https://z11grun.blogspot.com/2017/09/openvpn.html


Log in to reply