Маршрутиризация через OpenVPN клиент



  • Подскажите друзья!
    Затея такая - есть сторонний VPN сервис, к нему подключаем pfsense. Соединение установленно, у стороннего сервиса есть панель управления по адресу 10.117.0.1 я взял этот адрес для теста доступности сети VPN.
    Проблема - нет доступа внутрь VPN из локальной сети (LAN). Помогите исправить?

    Теперь по порядку
    Клиент openVPN на pfsense настроен:
    0_1551135828769_Screenshot_2019-02-26 pf armrus org - Status OpenVPN.png
    Создан интерфейс:
    0_1551136006860_Screenshot_2019-02-26 pf armrus org - Интерфейсы Interface Assignments.png
    0_1551136161655_Screenshot_2019-02-26 pf armrus org - Интерфейсы HIDEMY (ovpnc4).png
    Настроен шлюз:
    0_1551136096484_Screenshot_2019-02-26 pf armrus org - Система Маршрутизация Шлюзы.png
    0_1551136230720_Screenshot_2019-02-26 pf armrus org - Система Маршрутизация Шлюзы Редактировать.png
    Задал статичный маршрут для доступа к тестовому адресу:
    0_1551137233635_Screenshot_2019-02-26 pf armrus org - Система Маршрутизация Статические Маршруты.png
    У интерфейса присвоенного соединению openVPN клиента настроил правило:
    0_1551136484846_Screenshot_2019-02-26 pf armrus org - Межсетевой экран Правила HIDEMY.png

    Тест сети
    Пингуем тестовый адрес задав источник от интерфейса присвоенного соединению openVPN клиента, пинг успешно прходит (те внутри VPN сети):
    0_1551136727567_Screenshot_2019-02-26 pf armrus org - Диагностика Пинг.png
    Теперь пытаемся пингануть из LAN, именно для доступа к VPN из локалки и строилась сеть, связи нет ☹
    0_1551136842743_Screenshot_2019-02-26 pf armrus org - Диагностика Пинг(1).png
    Аналогичный результат с отсутсвием связи при пинге от локалхоста:
    0_1551136933353_Screenshot_2019-02-26 pf armrus org - Диагностика Пинг(2).png
    Подскажите, что надо сделать, чтобы получить доступ к VPN из LAN ?



  • @armrus Здр
    Удаленная сеть есть в настройках клиента (PFSense)????
    Посмотрите таблицу маршрутизации - есть ли сеть 10.117.0.0 ???
    Ну , и раз сторонний сервис я бы сделал NAT OUTBOUND на OPENVPN интерфейсе ( лично я думаю , что удаленный сервис ничего не знает про вашу сеть ) (192.168.1.0/24 -> 10.116.94.90)



  • @konstanti said in Маршрутиризация через OpenVPN клиент:

    Удаленная сеть есть в настройках клиента (PFSense)????

    нет, подскажите какую сеть прописатьу удаленной в настройках? ту самую 10.117.0.0 ?
    0_1551174723788_Screenshot_2019-02-26 pf armrus org - VPN OpenVPN Клиенты Редактировать.png

    @konstanti said in Маршрутиризация через OpenVPN клиент:

    Посмотрите таблицу маршрутизации - есть ли сеть 10.117.0.0 ???

    Таблицу маршрутиризации посмотрел, выглядит так:
    0_1551174796163_Screenshot_2019-02-26 pf armrus org - Диагностика Маршруты.png

    @konstanti said in Маршрутиризация через OpenVPN клиент:

    Ну , и раз сторонний сервис я бы сделал NAT OUTBOUND на OPENVPN интерфейсе ( лично я думаю , что удаленный сервис ничего не знает про вашу сеть ) (192.168.1.0/24 -> 10.116.94.90)

    Выполнил Ваши рекомендации -
    0_1551175746693_Screenshot_2019-02-26 pf armrus org - Межсетевой экран Сетевая Трансляция Адресов Исходящий Редактировать.png

    Но не хватает квалификации понять почему правило игнарируется ☹
    0_1551175867572_Screenshot_2019-02-26 pf armrus org - Межсетевой экран Сетевая Трансляция Адресов Исходящий.png



  • @armrus

    Судя по картинкам , Вам уже передают информацию о хосте 10.117.0.1/32
    и о сети 10.116.80.0/20

    Они у Вас присутствуют в таблице
    Я бы добавил правило НАТ через Ручное генерирование
    И проверил бы , что уходит в туннель через Packet Capture на Openvpn интерфейсе
    если все правильно сделаете , то при запущенном Пинге c любого хоста 192.168.1.0/24
    должны увидеть
    10.116.94.90 -> 10.117.0.1 echo request
    10.177.0.1 -> 10.116.94.90 echo reply



  • @konstanti said in Маршрутиризация через OpenVPN клиент:

    Пункт 3 в 1 картинке "Удаленная сеть" 10.117.0.0/24

    добавил
    0_1551176570759_Screenshot_2019-02-26 pf armrus org - VPN OpenVPN Клиенты Редактировать(1).png
    ручной маршрут отключил

    @armrus said in Маршрутиризация через OpenVPN клиент:

    Задал статичный маршрут для доступа к тестовому адресу:

    теперь таблица маршрутов выглядит так
    0_1551176736724_Screenshot_2019-02-26 pf armrus org - Диагностика Маршруты(1).png

    Включил гибридное и ура пинг из локалки пошел! Большое спасибо за помощь!
    0_1551177044832_Screenshot_2019-02-26 pf armrus org - Межсетевой экран Сетевая Трансляция Адресов Исходящий(1).png


Log in to reply