pfSense + OpenVPN доступ к некоторым локальным адресам



  • Здравствуйте.
    Имеется PC с 3 сетевыми интерфейсами: WAN, LAN, OPT1.
    WAN - внешний IP
    LAN - роутер
    OPT1 - сервер

    На PC с pfSense поднят OpenVPN сервер, то есть свободно хожу по локальным адресам (10.0.0.x / 10.0.1.x) удаленно.
    К роутеру подключен HP iLO , у iLO адрес 192.168.1.194 от роутера.
    Собственно вопрос, как мне получить доступ к вебморде iLO , будучи подключенным по VPN?
    P.S. Как я понимаю, нужно пробросить порт , но куда конкретно я не понимаю, направьте пожалуйста :)



  • @trapecija Здр
    Зачем что-то пробрасывать , когда можно просто "рассказать" клиентам OpenVPN сервера, что есть сеть 192.168.1.0/24 , и находится она за Openvpn сервером.
    Те , говоря простым языком , надо клиентам передать маршрут к этой сети через туннель, так же как Вы это делаете с сетью , которая находится за LAN (не знаю , какая из 2-х 0.x или 1.x )



  • @Konstanti туннель у меня проходить через 10.0.0.0 (LAN).
    если есть возможность, подскажите подробнее что нужно сделать, ибо мозг уже не варит :)



  • @trapecija Для начала , ради интереса, попробуйте "ручками" прописать у клиента статический маршрут для сети 192.168.1.0/24

    route add 192.168.1.0/24 ip_адрес_ туннеля_co_стороны_openvpn_сервера
    (команды могут отличаться по синтаксису , но идея ясна)
    в таблице маршрутизации клиента должен появиться маршрут к 192.168.1.0/24 через openvpn туннель
    (при этом Вы должны быть уверены, что со стороны клиента не было до этой операции сети 192.168.1.0/24 в таблице маршрутизации, чтобы не было проблем)
    попробуйте подключиться к HP
    если получилось , то надо добавить сеть 192.168.1.0/24 в настройках сервера , чтобы клиент всегда получал нужный маршрут при установлении соединения
    Делается это тут
    f46ac530-8599-4e89-8235-8202f5cb8350-image.png
    и проверьте правила файрвола на OpenVPN интерфейсе , чтобы был разрешен доступ к нужной сети



  • @Konstanti Снимок экрана 2019-09-17 в 11.11.49.png
    прописал, у клиента ничего не появилось. или я не в ту степь забрел )



  • @trapecija Если клиент - это PFSense
    то не мучайтесь , покажите настройки сервера ,то раздел , который касается настройки удаленных/локальных и туннельных сетей



  • @Konstanti Снимок экрана 2019-09-17 в 11.17.29.png Снимок экрана 2019-09-17 в 11.17.22.png
    если это то , что вас интересует



  • @trapecija Нет , не то
    Нужны настройки сервера

    c23a6e54-d24a-4182-a628-868ed20c8a03-image.png





  • @trapecija нижней части настроек нет
    где указываются удаленные/локальные сети



  • @Konstanti у меня дальше такого нет , идет "Настройки клиента" , "Расширенные настройки клиента" и тд



  • @Konstanti заранее прошу прощения за свою тупость, я только начал познавать pfSense :)



  • @trapecija Тогда давайте сначала
    1 настройки сервера
    2 настройки клиента
    3 таблица маршрутизации клиента
    4 таблица маршрутизации сервера



  • @Konstanti 123- вот скриншоты настроек клиента и сервера
    а где посмотреть таблицы маршрутизации?


  • Global Moderator

    @trapecija Нужно сделать подобное -
    Настройки OpenVPN сервера:
    Screenshot from 2019-09-17 13-18-15.png

    Настройки Firewall:
    Screenshot from 2019-09-17 13-18-46.png

    Какая у вас версия pfSense ?

    Таблицы маршрутизации можно посмотреть в Diagnostics / Routes



  • @viktor_g сделал как вы указали, но все равно не могу зайти на 192.168.1.194

    pfSense 2.4.4

    таблица маршрутизации:
    Снимок экрана 2019-09-17 в 13.23.10.png



  • @trapecija Это таблица маршрутизации сервера , как я понимаю ?
    Или как ???
    Если сервера - не вижу в ней информации о сети 192.168.1.0/24



  • @Konstanti IPv4 Routes. еще есть IPv6, больше ничего нет



  • @trapecija Это таблица маршрутизации сервера или клиента ???



  • @Konstanti мы наверное друг друга не понимаем... скорее всего клиента


  • Global Moderator

    Обновите pfSense до версии 2.4.4-p3

    Кто в качестве клиента?
    Нужно посмотреть его настройки



  • @trapecija Покажите тогда таблицу маршрутизации сервера
    Если это таблица маршрутизации клиента - то понятно , почему Вы не можете "достучаться" до HP
    Клиент ничего не знает про сеть 192.168.1.0/24



  • @Konstanti где мне найти таблицы маршрутизации клиента/сервера? я этого не понимаю :)



  • @viktor_g p3 и стоит.
    1 - тут скриншот настройки клиента OpenVPN



  • @trapecija Еще раз
    Для полного понимания , что и как у Вас настроено
    Нужно
    1 настройки OpenVpn сервера
    2 настройки файрвола на стороне Openvpn сервера (Openvpn интерфейс) - см картинки viktor_g
    3 таблицы маршрутизации сервера ( Diagnostics / Routes)
    Если на стороне клиента тоже PF
    то покажите то же самое для клиента , что и для сервера



  • @Konstanti вот теперь понятно. настройки OpenVPN Server + Client я кидал выше. Файрволл настроен так же как у viktor_g. Выше я скинул таблицу маршрутизации сервера.



  • @trapecija Правильно, сервера
    а уверяли , что клиента
    Итак , вопрос - где в этой таблице маршрутизации сеть 192.168.1.0/24 ?
    Если непонятно что и как , рисуйте схему сети
    Если сеть 192.168.1.0/24 на стороне сервера , то ее нет в таблице маршрутизации сервера
    Если эта сеть на стороне клиента , то сервер опять же ничего не знает по эту сеть



  • @trapecija И еще , обратите внимание
    У Вас туннельная сеть openvpn 10.0.0.0/24
    и на интерфейсе re0 тоже висит сеть 10.0.0.0/24
    так быть не должно



  • @Konstanti
    0f8VuJF5oXw.jpg
    Вот как устроена моя сеть. Вроде должно быть понятно.

    Насчет туннели , у меня все заработало только после того, как я поставил 10.0.0.0/24.


  • Global Moderator

    @Konstanti покажите таблицу маршрутизации устройства что на схеме обозначено как Router

    У Вас туннельная сеть openvpn 10.0.0.0/24
    и на интерфейсе re0 тоже висит сеть 10.0.0.0/24
    так быть не должно

    • обратите внимание


  • @trapecija Что я вижу
    Есть 2 сети , подключенные к PC/PF+OPENVPN

    1. 10.0.1.0/24 - интерфейс OPT1 (em0)
    2. 10.0.0.0/24 - интерфейс LAN (re0)
    3. 10.0.0.0/24 - сеть openvpn туннеля (ovpns1) - так неправильно
    4. есть какая-то внешняя сеть , подключенная к openvpn серверу , и весь трафик которой идет через vpn- туннель
      Верно ?

    4 . есть еще какой-то роутер , подключенный к сети 10.0.0.0/24 с одной стороны и к сети 192.168.1.0/24 с другой ?
    Верно ?
    Если все верно , то обратите внимание на пункт 3 и на тот факт , что PFSENSE ничего не знает про сеть 192.168.1.0/24



  • @Konstanti

    1. да
    2. да
    3. да
    4. внешний ip адрес от провайдера, по которому я подключаюсь к VPN серверу (PC/WAN) .
    5. Роутер подключен к сети 10.0.0.0/24 по WAN, по LAN подключен HP iLO с IP 192.168.1.194.

    Вот таблица маршрутизации роутера:
    Снимок экрана 2019-09-17 в 15.00.51.png



  • @trapecija По роутеру все понятно
    Еще раз повторю , что из
    сети 10.0.0.0/24
    сети 10.0.1.0/24
    и из openvpn туннеля у Вас не будет доступа к сети 192.168.1.0/24 при текущих настройках PFSENSE, потому что PFSENSE ничего не знает про сеть 192.168.1.0/24



  • @Konstanti понял, как сделать так, чтоб pfsense увидел сеть 192.168.1.0/24?




  • Global Moderator

    Настройте для OpenVPN клиентов отдельную сетку, например 10.0.1.0/24
    И настройте на маршрутизаторе Router маршрут в эту сеть, или про укажите pfSense как шлюз по-умолчанию



  • @viktor_g 10.0.1.0/24 = OPT1 (сервер)



  • @trapecija а не проще отказаться от использования устройства "РОУТЕР" ?
    тогда HP будет получать ip-адрес от PF , и прекрасно все будет видеться клиентами OpenVPN , при правильной настройке , естественно .
    Просто я пока не понимаю глобального смысла в этом устройстве при такой топологии сети.


  • Global Moderator

    @trapecija said in pfSense + OpenVPN доступ к некоторым локальным адресам:

    @viktor_g 10.0.1.0/24 = OPT1 (сервер)

    Так сделайте 10.0.2.0/24 )



  • @Konstanti роутер нужен для раздачи wi-fi. сервер (HP) и так имеет свою сеть, просто у меня на материнской плате больше нет pci слотов для сетевой карты , так бы не парился и подключил бы iLO напрямую к PF.


Log in to reply