Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PfSense Openvpn типовая задача. помогите настроить.

    Scheduled Pinned Locked Moved Russian
    11 Posts 3 Posters 952 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      Eleight
      last edited by Eleight

      Добрый день.
      Дано - сеть 192.168.0.0/24 за pfsense (шлюз по умолчанию) (Lan 192.168.0.253 Wan 192.168.1.251)
      за роутером (порт проброшен)
      необходимо настроить open vpn для подключенияк машинам локальной сети по RDP
      Первоначальные настройки сделаны, сертификаты созданы, туннель работает.
      Проблема в том что клиент видит только шлюз, но не сеть за ним.
      Настройки (остальное по умолчанию)
      3571086d-f302-4fb8-bdb2-7edc003a2e87-изображение.png
      e57b4b0c-b889-4a66-a52e-acf68fe3f1ea-изображение.png
      Правило в Firewall
      b302567a-1b4d-4dda-a8ca-f4f9c06c34ae-изображение.png
      96e1dba0-902f-4a47-94f8-1f8a33fdf231-изображение.png
      Клиент под виндой
      56210d8c-6fad-42ff-a00b-41a7e3f37241-изображение.png
      Конфиг создан через экспорт
      dev tun
      persist-tun
      persist-key
      cipher AES-128-CBC
      auth SHA256
      tls-client
      client
      resolv-retry infinite
      remote ххх.ххх.pro 1195 udp
      verify-x509-name "ххх" name
      auth-user-pass
      pkcs12 pfSense-UDP4-1195-ххх.p12
      tls-auth pfSense-UDP4-1195-ххх-tls.key 1
      remote-cert-tls server

      K 1 Reply Last reply Reply Quote 0
      • P
        pigbrother
        last edited by pigbrother

        На интерфейсе OpenVPN правило вида

        IPv4 * 	* 	* 	* 	* 	* 	none   	
        

        создано?

        1 Reply Last reply Reply Quote 1
        • K
          Konstanti @Eleight
          last edited by

          @eleight
          Здр
          Так-то , навскидку , таблица маршрутизации верная
          Те , если я все верно понял , клиент видит 192.168.10.1 и не видит 192.168.0.0/24 ?
          Правила на openvpn интерфейсе проверяли ? Там разрешено прохождение нужного трафика ?

          E 1 Reply Last reply Reply Quote 1
          • E
            Eleight @Konstanti
            last edited by Eleight

            @konstanti , @pigbrother
            С компьютера 192.168.0.169
            ping 192.168.0.253 (pfsense) ok
            ping 192.168.10.1 (pfsense) ok
            ping 192.168.10.2 (клиент оpenvpn)не проходит

            снаружи
            ping 192.168.10.1 (pfsense) ok
            ping 192.168.0.253 (pfsense) ok
            ping 192.168.0.169 не проходит
            при трассировке :
            Трассировка маршрута к 192.168.0.169 с максимальным числом прыжков 30
            1 20 ms 20 ms 20 ms 192.168.10.1
            2 * *
            Правила Firewall
            для интерфейса WAN
            be81d65f-c692-4d5f-8dc3-b9780a8ff829-изображение.png
            для интерфейса Openvpn
            f368b04f-9413-4e57-ba2a-1e4925f954bf-изображение.png
            Собственно они есть на скринах в 1 сообщении
            больше никаких настроек нет. - только что установленный pfsense

            Возможно нужно чтото ещё?

            P 1 Reply Last reply Reply Quote 0
            • P
              pigbrother @Eleight
              last edited by

              @eleight said in PfSense Openvpn типовая задача. помогите настроить.:

              192.168.0.169

              А что с брандмауэром на 192.168.0.169? Если включен, он блокирует запросы из чужих подсетей.

              K E 2 Replies Last reply Reply Quote 1
              • K
                Konstanti @pigbrother
                last edited by Konstanti

                @pigbrother
                Смущает , что и в обратную сторону пинг не идет
                ping 192.168.10.2 (клиент оpenvpn)не проходит
                или
                ping 192.168.0.169 не проходит

                те затыки на конечных точках маршрута

                1 Reply Last reply Reply Quote 1
                • E
                  Eleight @pigbrother
                  last edited by Eleight

                  @pigbrother отключил, пинги пошли. Бл...
                  | Если включен, он блокирует запросы из чужих подсетей.
                  Думал что если со шлюза пинг идёт то брендмауер мешать не будет.
                  2 дня моск ломал, а про слона забыл. спасибо за участие.
                  PS. можно как то сказать что это сеть не чужая?
                  или прописывать правило в каждом брендмауере?

                  P K 2 Replies Last reply Reply Quote 0
                  • P
                    pigbrother @Eleight
                    last edited by

                    @eleight said in PfSense Openvpn типовая задача. помогите настроить.:

                    или прописывать правило в каждом брендмауере?

                    Либо разрешать чужие сети на каждом сервере, либо отключать брандмауэр.

                    1 Reply Last reply Reply Quote 1
                    • K
                      Konstanti @Eleight
                      last edited by

                      @eleight
                      Nat outbound на Lan интерфейсе для 192.168.10.0/24

                      P 1 Reply Last reply Reply Quote 1
                      • P
                        pigbrother @Konstanti
                        last edited by

                        @konstanti said in PfSense Openvpn типовая задача. помогите настроить.:

                        Nat outbound

                        NAT поможет. Но я сторонник чистой маршрутизации. Nat - тогда, когда другого варианта нет.

                        E 1 Reply Last reply Reply Quote 1
                        • E
                          Eleight @pigbrother
                          last edited by Eleight

                          @pigbrother Согласен. Просто пропишу правило в брендмауере на конечной машине.
                          Так проще потом понять что я навертел).

                          @konstanti, @pigbrother, огромное спасибо вам.

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.