Openvpn Хелп… Remote Access и Peer to Peer



  • Добрый день.
    Нужна ваша помощь, голова уже кипит просто.
    Вкратце, есть впн сервер А (локалка 192.168.10.0/24).
    Remote Access работает на ура(тунель 10.0.8.0/24).
    Стоит задача на том же сервере А поднять еще Peer to Peer. Добавил и настроил, тунель (10.0.9.0/24) поднялся. НО…
    С сервера В (локалка 192.168.17.0/24) пингуется вся локалка за сервером А, но с сети за сервером В, пингуется только сервер А. Перерыл интернет но не могу найти решение.

    Remote Access (SSL/TLS + User Auth)
    Interface: WAN
    Local port:  1194
    IPv4 Tunnel Network: 10.0.8.0/24
    Redirect IPv4 Gateway  +

    Peer to Peer (Shared Key) Server
    Interface: WAN
    Local port:  1195
    IPv4 Tunnel Network: 10.0.9.0/24
    IPv4 Remote network: 192.168.17.0/24

    Peer to Peer (Shared Key) Client
    Interface: WAN
    Local port:  1195
    IPv4 Tunnel Network: 10.0.9.0/24
    IPv4 Remote network: 192.168.10.0/24

    Rules Server

    WAN
    States Protocol Source Port Destination Port Gateway Queue Schedule Description
    0 /9 KiB        * RFC 1918 networks * * * * * Block private networks
    0 /14.55 MiB  * Reserved Not assigned by IANA * * * * * Block bogon networks
    1 /601 KiB IPv4 UDP * * WAN address 1194 (OpenVPN) * none OpenVPN VPN wizard    
    0 /34 KiB IPv4 UDP * * WAN address 1195 * none vpn2

    LAN
    States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions
    2 /45.68 MiB * * * LAN Address 80 * * Anti-Lockout Rule
    13 /189.33 MiB IPv4 * LAN net * * * * none Default allow LAN to any rule    
    0 /0 B IPv6 * LAN net * * * * none Default allow LAN IPv6 to any rule

    OpenVPN
    States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions
    107 /24.36 MiBIPv4 * * * * * * none OpenVPN VPN wizard    
    0 /0 B IPv4 * 192.168.17.0/24 * * * * none



  • Shared Key давно не пользуюсь, но когда-то помогали правила на LAN:
    для клиента
    IPv4 * LAN net * 192.168.10.0/24 * * none
    для сервера
    IPv4 * LAN net * 192.168.17.0/24 * * none

    Правила поставьте повыше

    Ну и убедитесь в наличии правила на  OpenVPN

    IPv4 * * * * * * none



  • Все проверил, поправил. Но результат тот же.
    С сервера клиента В с меню диагностики все пингуется, а клиенты за сервером пингуют только сервер ВПН А.
    Таблица маршрутов сервера клиента

    default           ...181 UGS 193410 1500         em0
    10.0.9.1               link#8         UH 0         1500         ovpnc1
    10.0.9.2               link#8         UHS 0         16384 lo0
    127.0.0.1               link#4         UH 98         16384 lo0
    192.168.10.0/24    10.0.9.1 UGS 0         1500  ovpnc1
    192.168.17.0/24      link#3  U 37440 1500         em1
    192.168.17.1       link#3         UHS 0         16384 lo0
    ..
    .180/30          link#2         U 158642 1500         em0
    ..*.182               link#2         UHS 0         16384 lo0

    Таблица маршрутов сервера

    default         192.168.10.100 UGS 193410 1500         hn1
    10.0.8.0.24          10.0.8.2        UGS 195709    1500         ovpns1
    10.0.8.1               link#7         UHS 0         16384 lo0
    10.0.8.2               link#7         UH 338         1500 ovpns1
    10.0.9.1               link#8         UHS 0         16384      ovpnc1
    10.0.9.2               link#8         UH 123149    1500 lo0
    127.0.0.1               link#1         UH 1171         16384 lo0
    192.168.10.0/24      link#6 U 2199053  1500  hn1
    192.168.10.107      link#6 UHS 0              16384  lo0
    192.168.17.0/24    10.0.9.2 UGS 38            1500  ovpns2
    ...176/30          link#5         U 2159593 1500         hn0
    ..
    .177               link#5         UHS 0         16384 lo0



  • Файрволлы на на пингуемых компьютерах отключены?
    Убедитесь, что шлюзами сетей A и B являются из pfSense.
    Приведите трассировку с ПК сети В в сторону ПК сети А.



  • Пингую теминальный сервак,днс сервер и третий pfsense который является dhcp с выходом в нет.

    При трасеровке сервера А (192.168.10.107)
    1мс 192.168.17.1
    1мс 192.168.10.107

    При трасеровке например 192.168.10.115 или 192.168.10.100
    1мс 192.168.17.1
    1мс 10.0.9.1

    Не могу понять что не так так как клиенты Remote Access все пингуют в сети А и получают доступ :-\



  • третий pfsense который является dhcp с выходом в нет.

    Openvpn сервер поднят не не нем и он является шлюзом по умолчанию для сети, которую пингуете?



  • Да. При подмене шлюза с основного на внп (пк с сети А), копм запинговался с сети В. Но возможно ли где-то поправить чтобы ПК сети А оставались на основном шлюзе (там и дшсп и суриката). Все таки клиенты Remote Access подключаясь к серваку В пингуют и работают с ресурсами сетиА. Хотелось бы для решения впн использовать отдельный сервак.
    Очень благодарен за помощь. (а то я один сис админ в канторе и только пол года как начал работать с pfsense)

    P.S.: И почему все таки сервер В с раздела диагностики все пингует без дополнительных танцев



  • 2 шлюза в сети - ассиметричная маршрутизация=проблемы.

    System - Routing - Gateways
    На основном шлюзе по умолчанию, который выпускает в инет нужно добавить шлюз в сеть В с указанием LAN IP OVPN-сервера

    и маршрут в сеть B с указанием этого шлюза
    в System - Routing - Static Routes

    Или делать
    route add на каждом ПК, в сети А к которому нужен доступ из B



  • Доброго.

    Да. При подмене шлюза с основного на внп (пк с сети А), копм запинговался с сети В. Но возможно ли где-то поправить чтобы ПК сети А оставались на основном шлюзе (там и дшсп и суриката). Все таки клиенты Remote Access подключаясь к серваку В пингуют и работают с ресурсами сетиА

    http://skeletor.org.ua/?p=5374

    Или через dhcp выдавать маршруты https://forum.pfsense.org/index.php?topic=74903.0

    Хотелось бы для решения впн использовать отдельный сервак

    https://pritunl.com/

    а то я один сис админ в канторе

    Виртуализация - https://forum.pfsense.org/index.php?topic=136398.0