OpenVPN Клиент Сервер при сети из нескольких филиалов



  • Добрый день!
    Кто сможет помочь, объяснить, где затык.
    Есть сеть филиалов в каждой своя сеть.
    Между ними настроен OpenVPN PSK
    Пример построения
    Филиал 1
    Lan 192.168.2.0/24
    1 Соединение
    OpenVPN 10.10.10.0/24
    remote IPv4 192.168.3.0/24
    2 Соединение
    OpenVPN 10.10.11.0/24
    remote IPv4 192.168.4.0/24
    3 Соединение
    OpenVPN 10.10.12.0/24
    remote IPv4 192.168.5.0/24
    4 Соединение
    OpenVPN 10.10.13.0/24
    remote IPv4 192.168.6.0/24

    2 Филиал
    Lan 192.168.3.0/24
    Клиент
    OpenVPN 10.10.10.0/24
    remote IPv4 192.168.2.0/24
    Custom options
    route 192.168.4.0 255.255.255.0;
    route 192.168.5.0 255.255.255.0;
    route 192.168.6.0 255.255.255.0;

    Остальные филиалы настроены похожим способом. Между ними все прекрассно видно и работает.
    Затык сообственно вот в чем:
    Не важно на каком филиале создаю OpenVPN сервер для доступа удаленных клиентов во внутренную сеть.
    Они видят только ту сеть куда подключаются. Тоесть к примеру, сервер создан во втором филиале они видят ТОЛЬКО его сеть. При этом если смотерть route print, там маршруты прописаны.
    Так же если делать tracert на любой филиал, я получаю выход на этот филиал, куда подключен, а дальше тишина.

    Настройки OpenVPN сервера на любом филиале.
    Server Mode: Remote Access (SSL/TLS)
    Protocol: UDP
    Device mode: tun
    Interface: WAN
    port: 1254
    Cryptografic Settings:bf0090e3-6a49-434b-8b64-c34856df8f47-image.png
    Tunel Settings:
    IPv4 Tunel: 10.10.10.0/24
    IPv4 local: 192.168.3.0/24, 192.168.4.0/24, 192.168.5.0/24, 192.168.6.0/24

    Игрался по разному, ставил галочку Redirect Gateway: Force all client generated traffic through the tunnel.

    Неделю бьюсь над этой загадкой.
    Надеюсь, что сможете направить меня на путь истинный.
    На вопрос, зачем доступ ко всем филиалам, ответ надо руководству.
    Мне не влом и ко всем по отдельности подключаться.

    С Уважением.



  • @nintendoos
    Здр
    У меня есть подозрение , что центральный офис и остальные филиалы ничего не знают про сети удаленных клиентов .
    Как вариант , попробуйте включить Nat outbound на openvpn интерфейсе филиала (туннель филиал - офис ) для удаленной сети .
    Я бы использовал tcpdump для локализации проблемы



  • @Konstanti
    Добрый! Спасибо за ответ.
    Я так понимаю, что необходимо именно в филиале в Nat Outbound включить?
    063ec4b7-050d-41ff-9dd3-0cb1af6bd778-image.png
    Там созданы автоматические правила по типу WAN 127.0.0.0/8 ::1/128 192.168.3.0/24 10.10.14.0/24 10.10.10.0/24 с портом 500 и на WAN adress
    И второе такое же



  • @nintendoos Именно в филиале
    Где и как делать Вам должно быть виднее (это надо смотреть по таблицам маршрутизации) Те нужно делать так , чтобы на выходе Вы имели пакет с адресом источника , известного всем остальным . Чтобы пакет мог вернуться обратно .

    Или , как вариант , если у Вас настроена статическая маршрутизация прописывать в офисе и филиалах ручками маршруты к удаленным сетям



  • @Konstanti
    Спасибо за ответ.
    Может конечно я не выспался. Но что-то не совсем понимаю.
    У меня филиалы друг друга видят. маршруты проходят в обе стороны.
    А вот впн клиенты видят только одну сеть - ту куда подключаються.
    Остальные сети не видят.
    В маршрутах у них прописывается все сети.
    Попробую конечно сегодня ночью прописать в NATе маршрут.
    Тогда и отпишусь.



  • This post is deleted!


  • @nintendoos Блин ,
    филиалы друг друга видят , потому что маршруты прописаны ручками из филиала А к филиалу Б .
    А тут появляется сеть С , про которую знает только филиал А . Он-то , со своей стороны, отправит пакет от C в направлении филиала Б . А как пакет обратно вернется , если Б ничего не знает про С ?

    Запустите tcpdump в разных точках и посмотрите за движением пакета от С к Б и обратно.



  • @pigbrother
    Пробовал и так делать.
    В конечном итоге затык все равно с клиентами которые подключаются с домашних или выданных ноутбуков.
    Проверял даже на домашнем ноуте. где моя под сеть это 192.16.16.0/24



  • @Konstanti
    Спасибо!
    Сейчас посмотрю.
    Что-то я это вообще из виду упустил.



  • Добрый вечер!

    Всем огромное спасибо за наводки.
    Не уверен, что это абсолютно верное решение.
    Но решил таким способом.
    Добавил в каждом филиале
    В раздел Advanced Cofiguration
    Costom options
    добавил строчку
    route 10.10.64.0 255.255.255.0 - это сеть OpenVPN для клиентов которые подключаються с выданных ноутов.

    Всем еще раз Огромное спасибо за советы и направления!

    С Уважением.



  • @nintendoos said in OpenVPN Клиент Сервер при сети из нескольких филиалов:

    Custom options
    route 192.168.4.0 255.255.255.0;
    route 192.168.5.0 255.255.255.0;
    route 192.168.6.0 255.255.255.0;

    Не надо на клиентах так. Запутаетесь. Пушите маршруты клиентам на сервере. Там пункт remote networks для этого существует.

    Еще. Вы выбрали алгоритм AES без GCM. И при этом вкл. аппаратное шифрование. Делов так не будет. Выбирайте и на сервере и на клиентах алгортим с GCM в название. Иначе профита от вкл. аппаратного шифрования не получите.



  • @werter said in OpenVPN Клиент Сервер при сети из нескольких филиалов:

    Пушите маршруты клиентам на сервере

    Не сильно уверен (давно отказался), но вроде как push route для PSK не работает.



  • @pigbrother

    Настройки OpenVPN сервера на любом филиале.
    Server Mode: Remote Access (SSL/TLS)

    ?



  • @werter
    Отвечал на этот пост
    https://forum.netgate.com/topic/147028/два-провайдера-и-openvpn-клиент/81

    где вы пишете

    @werter said in Два провайдера и openvpn клиент:

    Создаем и настраиваем P2P Shared key Openvpn серверы и клиенты

    Как оно попало в этот топик - не знаю☹


Log in to reply