pfsense+openVPN (2LAN за клиентом)



  • Доброго времени суток!
    Есть два pfsense, один из которых настроен как OpenVPN Server, другой как OpenVPN Client - соединены через сеть 192.168.190.0/24, имитирующей Интернет (мной был собран макет чтобы найти решение). 0_1545824309899_maket.jpg За сервером сетка 192.168.191.0/24, за клиентом две сетки 192.168.192.0/24 и 192.168.194.0/24 (воткнуты в разные сетевые карты).
    Так вот сетки 191.0/24 (за сервером OpenVPN) и одна сетка за клиентом 192.0/24 (та которая прописана в поле "Remote Network в настройках OpenVPN сервера) видят друг друга без вопросов. Возникла задача дать доступ к друг другу сетке 191.0/24 за сервером и второй сетке клиента 194.0/24.
    Вопрос решается добавлением через запятую сетки 192.168.194.0/24 в поле Remote Network настроек OpenVPN сервера.0_1545824344710_server remote network.jpg
    В этом случае таблица маршрутизации на сервере принимает вид:
    0_1545824381122_server 191_2.jpg
    На клиенте остается такой же, как и до добавления сетки 194.0 в поле remote network сервера
    0_1545824485433_client 194_2.jpg
    Но можно ли, не трогая настроек OpenVPN сервера, а только настраивая pfsense на клиенте разрешить сеткам 191.0/24 и 194.0/24 видеть друг друга??
    Благодарю!



  • This post is deleted!


  • 193.0/24 - сетка туннеля OpenVPN. Про нее написал для понимания таблицы маршрутизации. Дело в том что я не могу изменять настройки OpenVPN сервера, только клиента - прав на сервер нету. И спец, кот настраивал эту схему говорит что все можно сделать на стороне клиента. Я два раза собирал макет - не могу настройками клиента добиться чтобы сетки 191.0 и 194.0 видели друг друга...



  • @rituk Я лично вижу 2 варианта
    1 Или статические маршруты
    2 Или прописать путь к каждой из сеток в настройках клиента OpenVpn
    т е в настройках клиента 192.0/ 24 пишем remote networks 194.0/24 и ,если нужно ,191.0/24
    а в настройках клиента 194.0/24 пишем remote networks 192.0/24 и ,если нужно, 191.0/24
    посмотрите ссылку
    Вам нужно посмотреть настройки Site A

    https://www.netgate.com/docs/pfsense/vpn/openvpn/routing-internet-traffic-through-a-site-to-site-openvpn-connection-in-pfsense-2-1.html



  • @Konstanti, ТС нужно получить доступ из сети 191 за сервером к сети 194 за клиентом, что у него и получается.
    Хочет же ТС:

    @rituk said in pfsense+openVPN (2LAN за клиентом):

    не трогая настроек OpenVPN сервера, а только настраивая pfsense на клиенте разрешить сеткам 191.0/24 и 194.0/24 видеть друг друга

    Не знаю, почему для ТС нежелательны настройки на сервере, но без
    указания серверу сети 194 как Remote Network сервер просто "не узнает" о сети 194 и, соответственно, маршрута 191->194 не будет.



  • @pigbrother
    Сорри , Вы правы . Не туда глянул

    Не нежелательны , а невозможны
    Он не имеет доступа к серверу .
    Тут решение я бы рассмотрел такое
    1 делаем статический маршрут на 194.0 для 191.0 средствами роутинг на PF через opvpn интерфейс
    2 nat -им все пакеты от 194.0 через openvpn интерф 193.X для 191.0
    сервер про 193.0 знает - тогда будет связь 191-193-194



  • @konstanti said in pfsense+openVPN (2LAN за клиентом):

    Тут решение я бы рассмотрел такое

    ТС по идее требуется полноценный Site-to-Site:

    @rituk said in pfsense+openVPN (2LAN за клиентом):

    е разрешить сеткам 191.0/24 и 194.0/24 видеть друг друга??

    Получим ли мы Site-to-Site, если сеть 194 будет спрятана за NAT 192?

    @konstanti said in pfsense+openVPN (2LAN за клиентом):

    193.X для 191.0
    сервер про 193.0 знает - тогда будет связь 191-193-194

    Вероятно, вы опечатались, вместо 193 следует читать 192?



  • @pigbrother Нет, опечатки нет )))
    На картинке 2 туннеля - 190 и 193 (тут не важно как на самом деле , берем для примера 193 )
    ТС нужно связать 191 и 194 , не имея доступа к серверу
    По картинкам видно , что клиент знает про сеть 191 через 193.1
    а сервер про 194 не знает, но при этом знает про 193.2 (на картинки не смотрим, считаем , что сервер знает только про 192.0 )
    Решение - натим все пакеты от 194.0 через openvpn интерфейс 193.2 для 191.0



  • @konstanti said in pfsense+openVPN (2LAN за клиентом):

    Решение - натим все пакеты от 194.0 через openvpn интерфейс 193.2 для 191.0

    Вы правы, наличие сети туннеля 193 просмотрел.
    Однако будет ли в случае c NAT работать направление 191.0->194.0?



  • @pigbrother Да
    для 191 весь трафик 194 сети будет приходить от 193.2

    соответственно , весь обратный трафик придет на 193.2 ( на нужный порт ) , а потом уже обратно в 194.0
    Классический NAT
    Если NAT не использовать , то для 191 трафик будет приходить от 194.0
    И обратного движения не будет , потому как 191 про 194 ничего не знает по условиям задачи



  • @konstanti said in pfsense+openVPN (2LAN за клиентом):

    Классический NAT

    Несомненно.

    Как говорят у них - sorry my ignorance, все же не пойму, как тогда будет работать обращение с хоста сети 191.0 к хосту сети 194.0?



  • @pigbrother Я так полагаю , что на сервере ( на стенде) шлюз по умолчанию 193.2 . Если нет , то засада



  • Подождем, отпишется ли ТС.



  • @pigbrother Есть некое противоречние
    Возникла задача дать доступ к друг другу сетке 191.0/24 за сервером и второй сетке клиента 194.0/24.
    И нет доступа к серверу
    И спец, кот настраивал эту схему говорит что все можно сделать на стороне клиента.
    Отсюда можно сделать вывод , что доступ должен быть от 194 к 191



  • @konstanti said in pfsense+openVPN (2LAN за клиентом):

    Отсюда можно сделать вывод , что доступ должен быть от 194 к 191

    Да, мне сперва тоже так показалось.
    Однако "друг к другу", упоминается дважды.

    @rituk said in pfsense+openVPN (2LAN за клиентом):

    И спец, кот настраивал

    Причины могут разными, но неужели этот спец не может внести нужную запись в настройки сервера?



  • @pigbrother Кстати , родилась идея объединить 2 сети в одну бриджем ,с адресом сети 192.0/24. Такой вариант тоже возможен. Или поделить сеть 192.0 на 2 подсети.



  • @Konstanti, согласен. Но опять же, все зависит от условий, в которых ТС решает свою задачу.



  • @konstanti said in pfsense+openVPN (2LAN за клиентом):

    На картинке 2 туннеля - 190 и 193 (тут не важно как на самом деле , берем для примера 193 )
    через 193.1только про 192.0 )

    Тоннель всего один-193.0. Вас вводит в заблуждение сетка 190.0. Это сетка указана только для понимания записей скринов маршрутов. Она используется для соединения двух pfsense по wan-интерфейсу (имитация интернета). И клиент openVPN всего один, но на машине pfsense клиента openVPN две сетевые карты: с локальной сеткой 192.0 (кот прописана в remote network openVPN сервера) и сеткой 194.0- кот необходим доступ к сетке за сервером openVPN -191.0.
    Благодарю за варианты решения на стороне клиента. Обязательно попытаюсь сделать это на макете- тем более что на макете можно крутить по-любому: рабочая система не пострадает)) сделать это могу только после НГ праздников. Всех с наступающим!



  • @rituk и сеткой 194.0**- кот необходим доступ к сетке за сервером openVPN -191.0.*** - если задача состоит именно в этом , то все просто . Как это сделать , я написал выше (при помощи NAT)



  • @konstanti said in pfsense+openVPN (2LAN за клиентом):

    Отсюда можно сделать вывод , что доступ должен быть от 194 к 191

    @rituk said in pfsense+openVPN (2LAN за клиентом):

    сеткой 194.0- кот необходим доступ к сетке за сервером openVPN -191.0.

    @Konstanti, так и оказалось, что site-to-site не нужен.

    @rituk, будьте точнее при постановке задачи.

    @rituk said in pfsense+openVPN (2LAN за клиентом):

    Возникла задача дать доступ к друг другу сетке 191.0/24 за сервером и второй сетке клиента 194.0/24.



  • На клиенте OpenVPN на вкладке FireWall-NAT (outbound) переводим в режим Hybrid Outbound NAT rule generation.
    (Automatic Outbound NAT + rules below). И руками добавляем правило на интерфейсе openVPN. Где source - сетка 194.0, а destionation - сетка 191.0
    @konstanti - благодарю за подсказанное решение.