Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Проблема доступа к частной сети по Openvpn

    Scheduled Pinned Locked Moved Russian
    22 Posts 4 Posters 1.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • L
      logon61
      last edited by logon61

      Здравствуйте!
      Прошу помощи у сообщества, уже почти в отчаянии.

      Есть три частные сети, у всех шлюз - pfsense:

      1. Статический внешний ip, он же сервер Openvpn(peer to peer). LAN: 192.168.125.0/24
      2. Клиент Openvpn. LAN: 192.168.6.0/24
      3. Клиент Openvpn. LAN: 192.168.43.0/24

      Проблема - ПК из сети 192.168.125.0/24 не пингуют сеть 192.168.43.0/24,
      хотя пингуется из 192.168.43.0/24 в 192.168.125.0/24

      Сам сервер pfsense пингует 192.168.43.0/24, но его клиенты - нет. Клиенты openvpn пингуют сети друг за другом и сервером без проблем.

      Ниже привожу скрины:

      openvpn.jpg

      Здесь трафик заворачивается правильно(пинг из сети 192.168.125.0/24 к 192.168.6.1):
      ping 6_1.jpg
      Трафик почему-то заворачивается на WAN(пинг из сети 192.168.125.0/24 к 192.168.43.1):
      ping 43_1.jpg
      ping_pfsense.jpg
      route.jpg

      L 1 Reply Last reply Reply Quote 0
      • L
        logon61 @logon61
        last edited by

        Почему-то сервер Openvpn назначает порт клиенту openvpn(192.168.43.0/24) всегда произвольный, хотя в настройках клиента он жестко прописан: 1194. Думаю проблема в этом, но как исправить?

        K 1 Reply Last reply Reply Quote 0
        • K
          Konstanti @logon61
          last edited by Konstanti

          @logon61 Покажите настройки сервера и клиента

          L 1 Reply Last reply Reply Quote 0
          • L
            logon61 @Konstanti
            last edited by

            @Konstanti

            Сервер:

            server_1.jpg
            server_2.jpg

            Клиент:

            client_1.jpg
            client_2.jpg

            K 1 Reply Last reply Reply Quote 0
            • K
              Konstanti @logon61
              last edited by

              @logon61 за что цепляется взгляд.
              1 зачем push route в настройках сервера?
              2 что такое 192.168.6.1/24 уверены, что маска подсети корректна?

              L 1 Reply Last reply Reply Quote 0
              • L
                logon61 @Konstanti
                last edited by logon61

                @Konstanti

                1. Передаю пути в частные сети мобильным клиентам openvpn на андроиде. Хотя возможно будет работать и без этих строк, не проверял.
                2. Спасибо, исправил на 192.168.6.0/24
                L 1 Reply Last reply Reply Quote 0
                • L
                  logon61 @logon61
                  last edited by

                  На первом скрине порт у клиента 10.0.8.8 - 1537, хотя в настройках у него жестко прописан 1194. Может в этом проблема? У другого клиента порт как в настройках, и там все отлично работает.

                  1 Reply Last reply Reply Quote 0
                  • werterW
                    werter
                    last edited by werter

                    Добрый.

                    @logon61

                    sndbuf,rcvbuf - убрать
                    push-и убрать
                    Галку на UDP Fast I\O поставить
                    Send\Receive buffer выбрать нужный размер.

                    На клиенте:

                    Указанный явно Local port УБРАТЬ.
                    Галку на UDP Fast I\O поставить
                    Send\Receive buffer выбрать нужный размер.

                    На первом скрине порт у клиента 10.0.8.8 - 1537

                    Это ИСХОДЯЩИЙ порт.

                    Сам сервер pfsense пингует 192.168.43.0/24, но его клиенты - нет

                    Скрины правил fw на ЛАН впн-сервера покажите.

                    L 1 Reply Last reply Reply Quote 0
                    • L
                      logon61 @werter
                      last edited by

                      @werter
                      Все сделал, ситуация не изменилась. Из-за того, что убрал push-и c айпишниками, клиенты openvpn на андроиде перестали видеть локальные сети за pfsense клиентами. Вернул их назад.

                      Правила lan:

                      fw lan.jpg

                      1 Reply Last reply Reply Quote 0
                      • V
                        vladimirlind
                        last edited by

                        CSO (Client Specific Overrides) используется на сервере? Наверное, да - иначе как сервер будет выбирать маршрут к LAN подключенного клиента.
                        Покажите настройки OpenVPN > Client Specific Overrides

                        K L 2 Replies Last reply Reply Quote 0
                        • K
                          Konstanti @vladimirlind
                          last edited by Konstanti

                          @vladimirlind Я, честно говоря, не понимаю, зачем мобильным клиентам передавать данные о маршрутах. Если openvpn становится для них шлюзом по умолчанию, то клиенты тупо отправляют все пакеты в туннель, а сервер сам их маршрутизирует.
                          И не совсем понимаю, откуда тут вообще мобильные клиенты?
                          Какие у них настройки?

                          L 1 Reply Last reply Reply Quote 0
                          • V
                            vladimirlind
                            last edited by

                            @Konstanti А тут, скорее всего, микс из мобильных клиентов и удаленных офисов, подключенных к одному серверу. Чтобы не плодить дополнительные опенвпн серверы - почему бы и нет. Конечно, не супер с т. з. безопасности, но тем не менее.

                            Серверу нужно подмапить маршрут к удаленному LAN за клиентом (если из больше, чем 1) с помощью записи в CSO, где мы указываем CN юзер сертификата клиента. Так опенвпн демон знает, к какому клиенту рулить трафик к удаленному LAN. По первому скриншоту судя - CSO сделаны, но я спросил на всякий случай.

                            1 Reply Last reply Reply Quote 0
                            • L
                              logon61 @vladimirlind
                              last edited by

                              @vladimirlind

                              Не использую, думаю ,что в моем конфиге аналогом служит строка "client-config-dir /usr" в разделе "Custom options" на сервере.
                              В папке /usr у меня лежат файлы с именем common name клиентов openvpn.

                              Вот пример файла "dom" в папке /usr:

                              ifconfig-push 10.0.8.8 255.255.255.0 - присваиваю клиенту ip
                              iroute 192.168.43.0 255.255.255.0 - говорю серверу, что за клиентом находится сеть 192.168.43.0/24

                              Напомню, что клиентов openvpn на pfsense у меня два, один работает идеально, а второй нет, хотя конфиги просто один в один. По прежнему ищу проблему.

                              Возможно мне стоит использовать CSO ?

                              V 1 Reply Last reply Reply Quote 0
                              • V
                                vladimirlind @logon61
                                last edited by

                                @logon61 Да, CSO как раз и делает iroutes

                                Да, лучше делать в вебгуе, если он позволяет. А тут как раз есть CSO.

                                L 1 Reply Last reply Reply Quote 0
                                • L
                                  logon61 @Konstanti
                                  last edited by

                                  @Konstanti said in Проблема доступа к частной сети по Openvpn:

                                  @vladimirlind Я, честно говоря, не понимаю, зачем мобильным клиентам передавать данные о маршрутах. Если openvpn становится для них шлюзом по умолчанию, то клиенты тупо отправляют все пакеты в туннель, а сервер сам их маршрутизирует.
                                  И не совсем понимаю, откуда тут вообще мобильные клиенты?
                                  Какие у них настройки?

                                  Я не прогоняю весь трафик мобильных клиентов через openvpn сервер. Использую такой вариант, чтобы подключаться к Nas, ip телефонии и видеонаблюдению с телефона, очень удобно. Остальной трафик идет через 4g соответственно.

                                  1 Reply Last reply Reply Quote 0
                                  • L
                                    logon61 @vladimirlind
                                    last edited by

                                    @vladimirlind said in Проблема доступа к частной сети по Openvpn:

                                    @logon61 Да, CSO как раз и делает iroutes

                                    Да, лучше делать в вебгуе, если он позволяет. А тут как раз есть CSO.

                                    Возможно, сейчас попробую понять, как его настроить...

                                    V 1 Reply Last reply Reply Quote 0
                                    • V
                                      vladimirlind @logon61
                                      last edited by

                                      @logon61 said in Проблема доступа к частной сети по Openvpn:

                                      Возможно, сейчас попробую понять, как его настроить...

                                      Вам надо по инстанции CSO для каждого юзера - там выбрать сервер , указать Common Name каждого юзера и в Remote networks - в одной инстанции 192.168.6.0/24, в другой - 192.168.43.0/24
                                      Ну и доступные Local Networks - 192.168.125.0/24, 192.168.43.0/24 для юзера с 192.168.6.0/24 и 192.168.125.0/24, 192.168.6.0/24 для юзера с 192.168.43.0/24

                                      1 Reply Last reply Reply Quote 0
                                      • V
                                        vladimirlind
                                        last edited by

                                        Правила на LAN только с полиси-рутингом. Для коннективити с 192.168.6.0/24 и 192.168.43.0/24 неплохо бы иметь обычные разрешающие правила поверх остальных

                                        L 2 Replies Last reply Reply Quote 0
                                        • L
                                          logon61 @vladimirlind
                                          last edited by

                                          Перенастроил всех клиентов через CSO. Ничего не изменилось.

                                          1 Reply Last reply Reply Quote 0
                                          • L
                                            logon61 @vladimirlind
                                            last edited by

                                            @vladimirlind said in Проблема доступа к частной сети по Openvpn:

                                            Правила на LAN только с полиси-рутингом.

                                            Это как?

                                            V 1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.