Связь между OpenVPN сетями Peer-to-Peer и Remote Access



  • В организации 10+ зданий, соединены через Peer-to-Peer SSL/TLS, 10.10.10.0/24 - связь между зданиями ходит на ура (каждому зданию с локальной подсеткой 192.168.ххх.0/24 прописан iroute в "Client specific override"). Добавляю сервер Remote Access, 10.20.10.0/24, клиенты подключаются (ноуты, мобильники) и имеют доступ только к подсети, на pfSense которой установлен сервер, не имея доступ к остальным сетям (между собой связываются). В настройках указано "Force all client-generated IPv4 traffic through the tunnel". Пробовал так же, вручную прописывать все подсети - всё-равно связи нет. Я так понимаю, трафик ходит между OpenVPN и физической сетью здания, но не между OpenVPN-OpenVPN. Вероятно нужно прописать какие-то дополнительные настройки?



  • @MythOfTheLight said in Связь между OpenVPN сетями Peer-to-Peer и Remote Access:

    Force all client-generated IPv4 traffic through the tunnel

    Это, IMHO, лишнее.

    А если "Client specific override" мобильных клиентов указать нужные подсети?



  • @pigbrother said in Связь между OpenVPN сетями Peer-to-Peer и Remote Access:

    @MythOfTheLight said in Связь между OpenVPN сетями Peer-to-Peer и Remote Access:

    Force all client-generated IPv4 traffic through the tunnel

    Это, IMHO, лишнее.

    А если "Client specific override" мобильных клиентов указать нужные подсети?

    "Force all client-generated IPv4 traffic through the tunnel" используется для доступа с мобильных телефонов и планшетов к удалённым серверам где разграничение по IP адресу, это служебный момент ))

    а по пункту "Client specific override" собственно и встал вопрос, как и что прописать в данном случае? Клиенты авторизуются по сертификатам, но какие параметры указать я не понимаю.



  • @MythOfTheLight

    не имея доступ к остальным сетям (между собой связываются)

    Выдавать подключающимся роуты в нужные вам сети. Если не заработает для вашей схемы с p2p автоматом, то выгрузить конфиг клиента себе, добавить директиву(-ы) "route 192.168.x.0 255.y.y.y" руками в конфиг и загрузить конфиг в телефон\ноут etc.

    а по пункту "Client specific override" собственно и встал вопрос, как и что прописать в данном случае? Клиенты авторизуются по сертификатам, но какие параметры указать я не понимаю.

    Это пункт необходим для доступа из сети пф-а в сеть(и) ЗА клиентами. Не думаю, что это то, что вам надо.



  • @werter said in Связь между OpenVPN сетями Peer-to-Peer и Remote Access:

    @MythOfTheLight

    не имея доступ к остальным сетям (между собой связываются)

    Выдавать подключающимся роуты в нужные вам сети. Если не заработает для вашей схемы с p2p автоматом, то выгрузить конфиг клиента себе, добавить директиву(-ы) "route 192.168.x.0 255.y.y.y" руками в конфиг и загрузить конфиг в телефон\ноут etc.

    а по пункту "Client specific override" собственно и встал вопрос, как и что прописать в данном случае? Клиенты авторизуются по сертификатам, но какие параметры указать я не понимаю.

    Это пункт необходим для доступа из сети пф-а в сеть(и) ЗА клиентами. Не думаю, что это то, что вам надо.

    В файле конфигурации (со стороны клиента) прописываю
    push "route 192.168.25.0 255.255.255.0"
    Или просто route 192.168.25.0 255.255.255.0?
    в случае с push в win CMD команда route print выдаёт что подсеть 192.168.25.0 255.255.255.0 через 10.20.10.2 но пинг в неё не идёт всё-равно



  • С клиента получившего адрес 10.20.10.2 я пингую шлюз 10.20.10.1 без проблем, так же пингуется и шлюз основной VPN сети 10.10.10.1, но её клиенты 10.10.10.2-3-4-5 не пингуются



  • В файле конфигурации (со стороны клиента) прописываю

    Подскажу: директива push сугубо серверной части. В гугл по фразе 'OpenVPN man'

    Правила fw на ЛАН, ВПН покажите.



  • @werter said in Связь между OpenVPN сетями Peer-to-Peer и Remote Access:

    OpenVPN man

    С командами не знаком, с pfSense и темболее OpenVPN работаю сравнительно недавно.
    в файрволе всех pfSense что в LAN что в OpenVPN правило пропускать весь трафик на всех протоколах - IPv4+6 * * * * * *



  • С командами не знаком

    Прийдется познакомиться. Помог, чем смог. След. шаг - сделать все за вас. Делать этого я точно не буду.

    Подскажу: директива push сугубо серверной части



  • @werter тогда могли бы и не отвечать.
    Я 2 месяца мучался с Точка-Точка из за того что никто не мог подсказать прописать в "Client specific override" iroute после чего всё заработало. А в инструкциях на просторах этого тупо не было. Вот так и живём. Есть 2 VPN сети, которые друг-друга не видят, потому что написать инструкцию с нуля не пропустив "очевидных" (очевидных только для пишущего инструкцию, не читающего) всем "писателям """гайдов"""" не позволительно.



  • @MythOfTheLight said in Связь между OpenVPN сетями Peer-to-Peer и Remote Access:

    потому что написать инструкцию с нуля не пропустив "очевидных" (очевидных только для пишущего инструкцию, не читающего) всем "писателям """гайдов"""" не позволительно.

    Два канонических мануала от пользователя @rubic. Именно с них для многих началось знакомство с OpenVPN.
    https://forum.netgate.com/topic/53251/openvpn-pki-site-to-site-инструкция-для-обсуждения?page=1

    https://forum.netgate.com/topic/53022/openvpn-psk-site-to-site-инструкция-для-обсуждения?page=1

    На сервере, к которому подключаются мобильные клиенты в поле IPv4 Local network(s) внесите все сети, которые должны быть доступны клиенту в виде
    a.a.a.a/24,b.b.b.b/24,x.x.x.x/24

    Ну и клиентам Peer-to-Peer SSL/TLS надо сообщить, что существует сеть Remote Access 10.20.10.0/24



  • @MythOfTheLight

    Я 2 месяца мучался с Точка-Точка из за того что никто не мог подсказать прописать в "Client specific override" iroute после чего всё заработало.

    https://docs.netgate.com/pfsense/en/latest/vpn/openvpn/configuring-a-site-to-site-pki-ssl-openvpn-instance.html

    On pfSense software version 2.2, use the IPv4 Remote Network/s here on the Client Specific Override to add iroute networks.

    On older versions of pfSense software, in the custom options/advanced box, add an iroute statement for the client network

    Вы 2 месяца потратили впустую вместо того, чтобы открыть ОФИЦИАЛЬНЫЙ док и настроить по нему. С чем и поздравляю.



  • @pigbrother
    баааалиииин.... Вот именно, я не выполнил пункт "Ну и клиентам Peer-to-Peer SSL/TLS надо сообщить, что существует сеть Remote Access 10.20.10.0/24"
    Добавил, рестартанул, всё работает.....

    По этим гайдам и делал, сейчас смотрю - в них правки, добавлен пункт "iroute" когда я сети поднимал в том ещё аж в 2018 году, этого пункта не было, пропустили вдиать.



  • @MythOfTheLight said in Связь между OpenVPN сетями Peer-to-Peer и Remote Access:

    По этим гайдам и делал, сейчас смотрю - в них правки, добавлен пункт "iroute"

    Странно, если вы о тех гайдах, ссылки на которые я приводил, iroute там было с момента публикации еще на старом форуме.. Возможно вы путаете с OpenVPN PSK: Site-to-Site - там iroute просто не нужен.

    @MythOfTheLight said in Связь между OpenVPN сетями Peer-to-Peer и Remote Access:

    Ну и клиентам Peer-to-Peer SSL/TLS надо сообщить, что существует сеть Remote Access 10.20.10.0/24"
    Добавил, рестартанул, всё работает.....

    Забыть об обратном маршруте - частая ошибка.


Log in to reply