Проблема доступа к частной сети по Openvpn
-
Здравствуйте!
Прошу помощи у сообщества, уже почти в отчаянии.Есть три частные сети, у всех шлюз - pfsense:
- Статический внешний ip, он же сервер Openvpn(peer to peer). LAN: 192.168.125.0/24
- Клиент Openvpn. LAN: 192.168.6.0/24
- Клиент Openvpn. LAN: 192.168.43.0/24
Проблема - ПК из сети 192.168.125.0/24 не пингуют сеть 192.168.43.0/24,
хотя пингуется из 192.168.43.0/24 в 192.168.125.0/24Сам сервер pfsense пингует 192.168.43.0/24, но его клиенты - нет. Клиенты openvpn пингуют сети друг за другом и сервером без проблем.
Ниже привожу скрины:
Здесь трафик заворачивается правильно(пинг из сети 192.168.125.0/24 к 192.168.6.1):
Трафик почему-то заворачивается на WAN(пинг из сети 192.168.125.0/24 к 192.168.43.1):
-
Почему-то сервер Openvpn назначает порт клиенту openvpn(192.168.43.0/24) всегда произвольный, хотя в настройках клиента он жестко прописан: 1194. Думаю проблема в этом, но как исправить?
-
@logon61 Покажите настройки сервера и клиента
-
-
@logon61 за что цепляется взгляд.
1 зачем push route в настройках сервера?
2 что такое 192.168.6.1/24 уверены, что маска подсети корректна?
-
- Передаю пути в частные сети мобильным клиентам openvpn на андроиде. Хотя возможно будет работать и без этих строк, не проверял.
- Спасибо, исправил на 192.168.6.0/24
-
На первом скрине порт у клиента 10.0.8.8 - 1537, хотя в настройках у него жестко прописан 1194. Может в этом проблема? У другого клиента порт как в настройках, и там все отлично работает.
-
Добрый.
sndbuf,rcvbuf - убрать
push-и убрать
Галку на UDP Fast I\O поставить
Send\Receive buffer выбрать нужный размер.На клиенте:
Указанный явно Local port УБРАТЬ.
Галку на UDP Fast I\O поставить
Send\Receive buffer выбрать нужный размер.На первом скрине порт у клиента 10.0.8.8 - 1537
Это ИСХОДЯЩИЙ порт.
Сам сервер pfsense пингует 192.168.43.0/24, но его клиенты - нет
Скрины правил fw на ЛАН впн-сервера покажите.
-
@werter
Все сделал, ситуация не изменилась. Из-за того, что убрал push-и c айпишниками, клиенты openvpn на андроиде перестали видеть локальные сети за pfsense клиентами. Вернул их назад.Правила lan:
-
CSO (Client Specific Overrides) используется на сервере? Наверное, да - иначе как сервер будет выбирать маршрут к LAN подключенного клиента.
Покажите настройки OpenVPN > Client Specific Overrides
-
@vladimirlind Я, честно говоря, не понимаю, зачем мобильным клиентам передавать данные о маршрутах. Если openvpn становится для них шлюзом по умолчанию, то клиенты тупо отправляют все пакеты в туннель, а сервер сам их маршрутизирует.
И не совсем понимаю, откуда тут вообще мобильные клиенты?
Какие у них настройки?
-
@Konstanti А тут, скорее всего, микс из мобильных клиентов и удаленных офисов, подключенных к одному серверу. Чтобы не плодить дополнительные опенвпн серверы - почему бы и нет. Конечно, не супер с т. з. безопасности, но тем не менее.
Серверу нужно подмапить маршрут к удаленному LAN за клиентом (если из больше, чем 1) с помощью записи в CSO, где мы указываем CN юзер сертификата клиента. Так опенвпн демон знает, к какому клиенту рулить трафик к удаленному LAN. По первому скриншоту судя - CSO сделаны, но я спросил на всякий случай.
-
Не использую, думаю ,что в моем конфиге аналогом служит строка "client-config-dir /usr" в разделе "Custom options" на сервере.
В папке /usr у меня лежат файлы с именем common name клиентов openvpn.Вот пример файла "dom" в папке /usr:
ifconfig-push 10.0.8.8 255.255.255.0 - присваиваю клиенту ip
iroute 192.168.43.0 255.255.255.0 - говорю серверу, что за клиентом находится сеть 192.168.43.0/24Напомню, что клиентов openvpn на pfsense у меня два, один работает идеально, а второй нет, хотя конфиги просто один в один. По прежнему ищу проблему.
Возможно мне стоит использовать CSO ?
-
@logon61 Да, CSO как раз и делает iroutes
Да, лучше делать в вебгуе, если он позволяет. А тут как раз есть CSO.
-
@Konstanti said in Проблема доступа к частной сети по Openvpn:
@vladimirlind Я, честно говоря, не понимаю, зачем мобильным клиентам передавать данные о маршрутах. Если openvpn становится для них шлюзом по умолчанию, то клиенты тупо отправляют все пакеты в туннель, а сервер сам их маршрутизирует.
И не совсем понимаю, откуда тут вообще мобильные клиенты?
Какие у них настройки?Я не прогоняю весь трафик мобильных клиентов через openvpn сервер. Использую такой вариант, чтобы подключаться к Nas, ip телефонии и видеонаблюдению с телефона, очень удобно. Остальной трафик идет через 4g соответственно.
-
@vladimirlind said in Проблема доступа к частной сети по Openvpn:
@logon61 Да, CSO как раз и делает iroutes
Да, лучше делать в вебгуе, если он позволяет. А тут как раз есть CSO.
Возможно, сейчас попробую понять, как его настроить...
-
@logon61 said in Проблема доступа к частной сети по Openvpn:
Возможно, сейчас попробую понять, как его настроить...
Вам надо по инстанции CSO для каждого юзера - там выбрать сервер , указать Common Name каждого юзера и в Remote networks - в одной инстанции 192.168.6.0/24, в другой - 192.168.43.0/24
Ну и доступные Local Networks - 192.168.125.0/24, 192.168.43.0/24 для юзера с 192.168.6.0/24 и 192.168.125.0/24, 192.168.6.0/24 для юзера с 192.168.43.0/24
-
Правила на LAN только с полиси-рутингом. Для коннективити с 192.168.6.0/24 и 192.168.43.0/24 неплохо бы иметь обычные разрешающие правила поверх остальных
-
Перенастроил всех клиентов через CSO. Ничего не изменилось.
-
@vladimirlind said in Проблема доступа к частной сети по Openvpn:
Правила на LAN только с полиси-рутингом.
Это как?
-
@logon61 сделайте на Lan разрешающие правила для трафика из 192.168.125.0/24 к 192.168.6.0/24 и 192.168.43.0/24 БЕЗ gateway (оставьте дефолтное значение) - эти правила должны находиться выше правил со шлюзами
-
@vladimirlind said in Проблема доступа к частной сети по Openvpn:
@logon61 сделайте на Lan разрешающие правила для трафика из 192.168.125.0/24 к 192.168.6.0/24 и 192.168.43.0/24 БЕЗ gateway (оставьте дефолтное значение) - эти правила должны находиться выше правил со шлюзами
Спасибо! Именно в этом и была проблема! Теперь трафик ходит как положено)
