Pfsense + подсеть у клиента OPEN VPN
-
В общем, дела такие:
LAN 10.10.0.0/24
OPEN VPN 10.10.1.0/24
Все настроено и уже в работе давно. Есть OPEN VPN клиенты 10.10.1.2, 10.10.1.3 - 10.10.1.15. И все прекрасно работают.
Все видят друг друга и локальную сеть.
Встала задача следующая:
Нужно клиента 10.10.1.16 поставить на роутер LAN которого выглядит вот так 192.168.1.0/24.
VPN поднялся на ура.
С компа 192.168.1.80 я пингую 10.10.0.0/24 и 10.10.1.0/24, всех поднятых VPN
Но вот 192.168.1.80 я не могу пинговать даже с pfsense.
Эту проблему решил попробовать решить так:
Зашел на pfsense по ssh и в консоли ввел route add 192.168.1.0/24 10.10.1.16. Но увы это не помогло.
Кто может подсказать что я делаю не так? -
В общем, дела такие:
LAN 10.10.0.0/24
OPEN VPN 10.10.1.0/24
Все настроено и уже в работе давно. Есть OPEN VPN клиенты 10.10.1.2, 10.10.1.3 - 10.10.1.15. И все прекрасно работают.
Все видят друг друга и локальную сеть.
Встала задача следующая:
Нужно клиента 10.10.1.16 поставить на роутер LAN которого выглядит вот так 192.168.1.0/24.
VPN поднялся на ура.
С компа 192.168.1.80 я пингую 10.10.0.0/24 и 10.10.1.0/24, всех поднятых VPN
Но вот 192.168.1.80 я не могу пинговать даже с pfsense.
Эту проблему решил попробовать решить так:
Зашел на pfsense по ssh и в консоли ввел route add 192.168.1.0/24 10.10.1.16. Но увы это не помогло.
Кто может подсказать что я делаю не так?Я понимаю что в данном случае нужно поднимать соединение типа "Peer to Peer", но у клиента роутер Asus умее только как клиент работать. Поэтому приходится отталкиваться от того что есть. Есть у кого мысли, как можно организовать такую маршрутизацию?
-
Доброго.
Что в кач-ве клиентов ? Что шлюзом в настройках сети у 192.168.1.80 ?
В случае с ОпенВПН руками маршруты добавлять на пф не надо. Удалите.
Попробую натолкнуть на мысль.
Директива route … для самого pfsense, чтобы понять, что такие то сети находятся за подкл. клиентом , директива push route … для получения маршрутов от пф подключающимся извне клиентам, директива iroute … в настр. Client specific overrides на пф для того, чтобы объяснить своей локальной сети, что такие-то сети нах-ся за подлк. клиентами.Первую и вторую директивы также можно настраивать прямо в веб-гуи пф. Для этого в настр. опенвпн-сервера имеются пункты Remote (директива route …) и Local networks (директива push route … ).
http://forum.ixbt.com/topic.cgi?id=14:40906
Плюс для доступа в сеть клиентов из лок. сети за пф понадобится явное разрешающее правило в fw на LAN, где в src - LAN net , в dest - сеть клиента. И поставить это правило выше всех.
-
Доброго.
Что в кач-ве клиентов ? Что шлюзом в настройках сети у 192.168.1.80 ?Роутер поднимает VPN соедение и получает адрес 10.10.1.16
Так же он является гейтом для сети 192.168.1.0/24 и имее ip адрес 192.168.1.1В этой сети все компы видят всех других vpn клиентов которые имеют адреса 10.10.1.0/24
Также с этой сет видны и все сервера находящиеся в сети 10.10.1.0/24
В одну сторону все работает прекрасно.Но вот другую никак. Из обеих сетей я могу увидеть только ip 10.10.1.16. (это ip который на роутер приходит от vpn сервера). А вот подсеть 192.168.1.0/24 никак и неоткуда.
-
В настройках пф-сервера в Remote укажите 192.168.1.0/24.
Так же там есть галка, разр. хождение трафика межде подкл. клиентами. Поставьте ее.
Впн сеть для возможности указать iroute для конкретного клиента должна быть построена на сертификатах. Иначе не выйдет.
Покажите таблицу мар-ции на пф при всех подкл. клиентах.
И это не забыть!
Плюс для доступа в сеть клиентов из лок. сети за пф понадобится явное разрешающее правило в fw на LAN, где в src - LAN net , в dest - сеть клиента. И поставить это правило выше всех.
Покажите скрины правил fw на ЛАН и ОПЕНВПН.
P.s.
но у клиента роутер Asus умее только как клиент работать
Модель этого роутера в студию.
-
В настройках пф-сервера в Remote укажите 192.168.1.0/24.
Так же там есть галка, разр. хождение трафика межде подкл. клиентами. Поставьте ее.
Впн сеть для возможности указать iroute для конкретного клиента должна быть построена на сертификатах. Иначе не выйдет.
Покажите таблицу мар-ции на пф при всех подкл. клиентах.
И это не забыть!
Плюс для доступа в сеть клиентов из лок. сети за пф понадобится явное разрешающее правило в fw на LAN, где в src - LAN net , в dest - сеть клиента. И поставить это правило выше всех.
Покажите скрины правил fw на ЛАН и ОПЕНВПН.
P.s.
но у клиента роутер Asus умее только как клиент работать
Модель этого роутера в студию.
Создал правило Client Specific Overrides
Как не странно но пинг с локалной сети 10.10.0.0/24 пошел. Но роутер saus RT-AC66U тут же нарисовал мне предупреждение
Ниже правило:
LAN
OPT
OpenVpn
-
Что такое OPT1 ? Если это явно созданный впн-интерфейс - удаляйте.
У вас для каждого клиента - отдельн. впн-сервер?
Не увидел разр. правила для впн на ЛАН. Вроде между строк не пишу.
Зачем в Адвансед добавили iroute ? Оно не там рисуется.Для Асуса есть http://tomato.groov.pl/?page_id=69. Намного лучше родной прошивки. Есть и впн клиент-сервер и мультиван и много чего еще http://tomato.groov.pl/?page_id=31.
После перепрошивки сбросить NVRAM! -
Что такое OPT1 ? Если это явно созданный впн-интерфейс - удаляйте.
У вас для каждого клиента - отдельн. впн-сервер?
Не увидел разр. правила для впн на ЛАН. Вроде между строк не пишу.
Зачем в Адвансед добавили iroute ? Оно не там рисуется.Для Асуса есть http://tomato.groov.pl/?page_id=69. Намного лучше родной прошивки. Есть и впн клиент-сервер и мультиван и много чего еще http://tomato.groov.pl/?page_id=31.
После перепрошивки сбросить NVRAM!Зачем в Адвансед добавили iroute ? Оно не там рисуется.
Только там и заработало, но в целом подскажите куда правильно писать.
Для Асуса есть http://tomato.groov.pl/?page_id=69. Намного лучше родной прошивки. Есть и впн клиент-сервер и мультиван и много чего еще http://tomato.groov.pl/?page_id=31.
После перепрошивки сбросить NVRAM!Так как это клинское оборудование, приходится танцеать от того что есть, я бы поставил железку на pf и на этом все было бы закончено.
У вас для каждого клиента - отдельн. впн-сервер?
Нет, сервер у меня один. Remote access ssl/tls + user auth
Что такое OPT1 ? Если это явно созданный впн-интерфейс - удаляйте.