PfSense Openvpn типовая задача. помогите настроить.

Eleight

Добрый день.
Дано - сеть 192.168.0.0/24 за pfsense (шлюз по умолчанию) (Lan 192.168.0.253 Wan 192.168.1.251)
за роутером (порт проброшен)
необходимо настроить open vpn для подключенияк машинам локальной сети по RDP
Первоначальные настройки сделаны, сертификаты созданы, туннель работает.
Проблема в том что клиент видит только шлюз, но не сеть за ним.
Настройки (остальное по умолчанию)
3571086d-f302-4fb8-bdb2-7edc003a2e87-изображение.png
e57b4b0c-b889-4a66-a52e-acf68fe3f1ea-изображение.png
Правило в Firewall
b302567a-1b4d-4dda-a8ca-f4f9c06c34ae-изображение.png
96e1dba0-902f-4a47-94f8-1f8a33fdf231-изображение.png
Клиент под виндой
56210d8c-6fad-42ff-a00b-41a7e3f37241-изображение.png
Конфиг создан через экспорт
dev tun
persist-tun
persist-key
cipher AES-128-CBC
auth SHA256
tls-client
client
resolv-retry infinite
remote ххх.ххх.pro 1195 udp
verify-x509-name "ххх" name
auth-user-pass
pkcs12 pfSense-UDP4-1195-ххх.p12
tls-auth pfSense-UDP4-1195-ххх-tls.key 1
remote-cert-tls server

pigbrother

На интерфейсе OpenVPN правило вида

IPv4 * 	* 	* 	* 	* 	* 	none

создано?

Konstanti

@eleight
Здр
Так-то , навскидку , таблица маршрутизации верная
Те , если я все верно понял , клиент видит 192.168.10.1 и не видит 192.168.0.0/24 ?
Правила на openvpn интерфейсе проверяли ? Там разрешено прохождение нужного трафика ?

Eleight

@konstanti , @pigbrother
С компьютера 192.168.0.169
ping 192.168.0.253 (pfsense) ok
ping 192.168.10.1 (pfsense) ok
ping 192.168.10.2 (клиент оpenvpn)не проходит

снаружи
ping 192.168.10.1 (pfsense) ok
ping 192.168.0.253 (pfsense) ok
ping 192.168.0.169 не проходит
при трассировке :
Трассировка маршрута к 192.168.0.169 с максимальным числом прыжков 30
1 20 ms 20 ms 20 ms 192.168.10.1
2 * *
Правила Firewall
для интерфейса WAN
be81d65f-c692-4d5f-8dc3-b9780a8ff829-изображение.png
для интерфейса Openvpn
f368b04f-9413-4e57-ba2a-1e4925f954bf-изображение.png
Собственно они есть на скринах в 1 сообщении
больше никаких настроек нет. - только что установленный pfsense

Возможно нужно чтото ещё?

pigbrother

@eleight said in PfSense Openvpn типовая задача. помогите настроить.:

192.168.0.169

А что с брандмауэром на 192.168.0.169? Если включен, он блокирует запросы из чужих подсетей.

Konstanti

@pigbrother
Смущает , что и в обратную сторону пинг не идет
ping 192.168.10.2 (клиент оpenvpn)не проходит
или
ping 192.168.0.169 не проходит

те затыки на конечных точках маршрута

Eleight

@pigbrother отключил, пинги пошли. Бл...
| Если включен, он блокирует запросы из чужих подсетей.
Думал что если со шлюза пинг идёт то брендмауер мешать не будет.
2 дня моск ломал, а про слона забыл. спасибо за участие.
PS. можно как то сказать что это сеть не чужая?
или прописывать правило в каждом брендмауере?

pigbrother

@eleight said in PfSense Openvpn типовая задача. помогите настроить.:

или прописывать правило в каждом брендмауере?

Либо разрешать чужие сети на каждом сервере, либо отключать брандмауэр.

Konstanti

@eleight
Nat outbound на Lan интерфейсе для 192.168.10.0/24

pigbrother

@konstanti said in PfSense Openvpn типовая задача. помогите настроить.:

Nat outbound

NAT поможет. Но я сторонник чистой маршрутизации. Nat - тогда, когда другого варианта нет.

Eleight

@pigbrother Согласен. Просто пропишу правило в брендмауере на конечной машине.
Так проще потом понять что я навертел).

@konstanti, @pigbrother, огромное спасибо вам.