Проблема доступа к частной сети по Openvpn



  • Здравствуйте!
    Прошу помощи у сообщества, уже почти в отчаянии.

    Есть три частные сети, у всех шлюз - pfsense:

    1. Статический внешний ip, он же сервер Openvpn(peer to peer). LAN: 192.168.125.0/24
    2. Клиент Openvpn. LAN: 192.168.6.0/24
    3. Клиент Openvpn. LAN: 192.168.43.0/24

    Проблема - ПК из сети 192.168.125.0/24 не пингуют сеть 192.168.43.0/24,
    хотя пингуется из 192.168.43.0/24 в 192.168.125.0/24

    Сам сервер pfsense пингует 192.168.43.0/24, но его клиенты - нет. Клиенты openvpn пингуют сети друг за другом и сервером без проблем.

    Ниже привожу скрины:

    openvpn.jpg

    Здесь трафик заворачивается правильно(пинг из сети 192.168.125.0/24 к 192.168.6.1):
    ping 6_1.jpg
    Трафик почему-то заворачивается на WAN(пинг из сети 192.168.125.0/24 к 192.168.43.1):
    ping 43_1.jpg
    ping_pfsense.jpg
    route.jpg



  • Почему-то сервер Openvpn назначает порт клиенту openvpn(192.168.43.0/24) всегда произвольный, хотя в настройках клиента он жестко прописан: 1194. Думаю проблема в этом, но как исправить?



  • @logon61 Покажите настройки сервера и клиента



  • @Konstanti

    Сервер:

    server_1.jpg
    server_2.jpg

    Клиент:

    client_1.jpg
    client_2.jpg



  • @logon61 за что цепляется взгляд.
    1 зачем push route в настройках сервера?
    2 что такое 192.168.6.1/24 уверены, что маска подсети корректна?



  • @Konstanti

    1. Передаю пути в частные сети мобильным клиентам openvpn на андроиде. Хотя возможно будет работать и без этих строк, не проверял.
    2. Спасибо, исправил на 192.168.6.0/24


  • На первом скрине порт у клиента 10.0.8.8 - 1537, хотя в настройках у него жестко прописан 1194. Может в этом проблема? У другого клиента порт как в настройках, и там все отлично работает.



  • Добрый.

    @logon61

    sndbuf,rcvbuf - убрать
    push-и убрать
    Галку на UDP Fast I\O поставить
    Send\Receive buffer выбрать нужный размер.

    На клиенте:

    Указанный явно Local port УБРАТЬ.
    Галку на UDP Fast I\O поставить
    Send\Receive buffer выбрать нужный размер.

    На первом скрине порт у клиента 10.0.8.8 - 1537

    Это ИСХОДЯЩИЙ порт.

    Сам сервер pfsense пингует 192.168.43.0/24, но его клиенты - нет

    Скрины правил fw на ЛАН впн-сервера покажите.



  • @werter
    Все сделал, ситуация не изменилась. Из-за того, что убрал push-и c айпишниками, клиенты openvpn на андроиде перестали видеть локальные сети за pfsense клиентами. Вернул их назад.

    Правила lan:

    fw lan.jpg



  • CSO (Client Specific Overrides) используется на сервере? Наверное, да - иначе как сервер будет выбирать маршрут к LAN подключенного клиента.
    Покажите настройки OpenVPN > Client Specific Overrides



  • @vladimirlind Я, честно говоря, не понимаю, зачем мобильным клиентам передавать данные о маршрутах. Если openvpn становится для них шлюзом по умолчанию, то клиенты тупо отправляют все пакеты в туннель, а сервер сам их маршрутизирует.
    И не совсем понимаю, откуда тут вообще мобильные клиенты?
    Какие у них настройки?



  • @Konstanti А тут, скорее всего, микс из мобильных клиентов и удаленных офисов, подключенных к одному серверу. Чтобы не плодить дополнительные опенвпн серверы - почему бы и нет. Конечно, не супер с т. з. безопасности, но тем не менее.

    Серверу нужно подмапить маршрут к удаленному LAN за клиентом (если из больше, чем 1) с помощью записи в CSO, где мы указываем CN юзер сертификата клиента. Так опенвпн демон знает, к какому клиенту рулить трафик к удаленному LAN. По первому скриншоту судя - CSO сделаны, но я спросил на всякий случай.



  • @vladimirlind

    Не использую, думаю ,что в моем конфиге аналогом служит строка "client-config-dir /usr" в разделе "Custom options" на сервере.
    В папке /usr у меня лежат файлы с именем common name клиентов openvpn.

    Вот пример файла "dom" в папке /usr:

    ifconfig-push 10.0.8.8 255.255.255.0 - присваиваю клиенту ip
    iroute 192.168.43.0 255.255.255.0 - говорю серверу, что за клиентом находится сеть 192.168.43.0/24

    Напомню, что клиентов openvpn на pfsense у меня два, один работает идеально, а второй нет, хотя конфиги просто один в один. По прежнему ищу проблему.

    Возможно мне стоит использовать CSO ?



  • @logon61 Да, CSO как раз и делает iroutes

    Да, лучше делать в вебгуе, если он позволяет. А тут как раз есть CSO.



  • @Konstanti said in Проблема доступа к частной сети по Openvpn:

    @vladimirlind Я, честно говоря, не понимаю, зачем мобильным клиентам передавать данные о маршрутах. Если openvpn становится для них шлюзом по умолчанию, то клиенты тупо отправляют все пакеты в туннель, а сервер сам их маршрутизирует.
    И не совсем понимаю, откуда тут вообще мобильные клиенты?
    Какие у них настройки?

    Я не прогоняю весь трафик мобильных клиентов через openvpn сервер. Использую такой вариант, чтобы подключаться к Nas, ip телефонии и видеонаблюдению с телефона, очень удобно. Остальной трафик идет через 4g соответственно.



  • @vladimirlind said in Проблема доступа к частной сети по Openvpn:

    @logon61 Да, CSO как раз и делает iroutes

    Да, лучше делать в вебгуе, если он позволяет. А тут как раз есть CSO.

    Возможно, сейчас попробую понять, как его настроить...



  • @logon61 said in Проблема доступа к частной сети по Openvpn:

    Возможно, сейчас попробую понять, как его настроить...

    Вам надо по инстанции CSO для каждого юзера - там выбрать сервер , указать Common Name каждого юзера и в Remote networks - в одной инстанции 192.168.6.0/24, в другой - 192.168.43.0/24
    Ну и доступные Local Networks - 192.168.125.0/24, 192.168.43.0/24 для юзера с 192.168.6.0/24 и 192.168.125.0/24, 192.168.6.0/24 для юзера с 192.168.43.0/24



  • Правила на LAN только с полиси-рутингом. Для коннективити с 192.168.6.0/24 и 192.168.43.0/24 неплохо бы иметь обычные разрешающие правила поверх остальных



  • Перенастроил всех клиентов через CSO. Ничего не изменилось.



  • @vladimirlind said in Проблема доступа к частной сети по Openvpn:

    Правила на LAN только с полиси-рутингом.

    Это как?



  • @logon61 сделайте на Lan разрешающие правила для трафика из 192.168.125.0/24 к 192.168.6.0/24 и 192.168.43.0/24 БЕЗ gateway (оставьте дефолтное значение) - эти правила должны находиться выше правил со шлюзами



  • @vladimirlind said in Проблема доступа к частной сети по Openvpn:

    @logon61 сделайте на Lan разрешающие правила для трафика из 192.168.125.0/24 к 192.168.6.0/24 и 192.168.43.0/24 БЕЗ gateway (оставьте дефолтное значение) - эти правила должны находиться выше правил со шлюзами

    Спасибо! Именно в этом и была проблема! Теперь трафик ходит как положено)


Log in to reply