Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OPENVPN не видно сеть за клиентом

    Scheduled Pinned Locked Moved Russian
    23 Posts 6 Posters 928 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      atel
      last edited by atel

      Доброго времени суток. Есть роутер pfsense 2.4.5-RELEASE-p1, на нем настроен openvpn. Клиент подключаеться и полуает полный доступ к сети за pfsense, но со стороны pfsene я не могу пропинговать внутрений ip клиента, пинг проходит только до ip тунеля.

      Сеть pfsense IP тунеля сервер IP тунеля клиент IP локальный клиент
      192.168.1.0/24-----------192.168.2.1---------------192.168.2.2-------------192.168.10.3

      dev ovpns1
verb 1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp4
cipher AES-256-CBC
auth SHA1
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
client-connect /usr/local/sbin/openvpn.attributes.sh
client-disconnect /usr/local/sbin/openvpn.attributes.sh
local WAN IP
tls-server
server 192.168.2.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc/server1
username-as-common-name
plugin /usr/local/lib/openvpn/plugins/openvpn-plugin-auth-script.so /usr/local/sbin/ovpn_auth_verify_async user TG9jYWwgRGF0YWJhc2U= false server1 1194
tls-verify "/usr/local/sbin/ovpn_auth_verify tls VPNServer' 1"
lport 1194
management /var/etc/openvpn/server1.sock unix
push "route 192.168.1.0 255.255.255.0"
client-to-client
ca /var/etc/openvpn/server1.ca 
cert /var/etc/openvpn/server1.cert 
key /var/etc/openvpn/server1.key 
dh /etc/dh-parameters.2048
tls-auth /var/etc/openvpn/server1.tls-auth 0
ncp-ciphers AES-128-GCM
compress lz4-v2
persist-remote-ip
float
topology subnet
route 192.168.10.0 255.255.225.0

      ОС клиента ubuntu server 20.04

      P 1 Reply Last reply Reply Quote 0
      • P
        pigbrother @atel
        last edited by

        @atel Сеть за клиентом указана в Client Specific Overrides?
        Есть ли на pfSense multwan?

        A 1 Reply Last reply Reply Quote 1
        • A
          atel @pigbrother
          last edited by atel

          @pigbrother

          Указал в csc

          push "route 192.168.1.0 255.255.255.0"
iroute 192.168.10.0 255.255.255.0

          Спасбо тебе. Отредактировал csc и все заработало. 👍

          werterW 1 Reply Last reply Reply Quote 0
          • werterW
            werter @atel
            last edited by werter

            @atel
            push "route 192.168.1.0 255.255.255.0" - лишнее
            Этот пункт есть в настройках сервера (Local network)

            Достаточно указать ПРАВИЛЬНЫЙ common name и директиву iroute ...;

            Ps/ Не надо использовать сети 192.168.(0|1).0 на работе. Нарветесь на ситуацию, когда удаленная сеть будеть иметь туже адресацию.

            M 1 Reply Last reply Reply Quote 0
            • M
              Mahad @werter
              last edited by

              This post is deleted!
              1 Reply Last reply Reply Quote 0
              • A
                atel
                last edited by atel

                Доброго времени суток. Опять вопрос по OpenVPN. Есть роутер pfsense 2.4.5-RELEASE-p1, на нем настроен openvpn. Клиент подключается и получает полный доступ к сети за pfsense и благодаря @pigbrother pfsense получает доступ на внутренний ip клиента. Сейчас появился второй клиент, он находиться в одной частной локальной сети с первым. И получается так, кто первый подключиться тот и получает маршрут и пингуеться по-внутреннему ip. Необходимо чтобы оба клиента пинговались по-внутреннему ip. Подскажите как решить данные задачку?

                openvpn.png

                server config

                dev ovpns1
verb 1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp4
cipher AES-256-CBC
auth SHA256
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
client-connect /usr/local/sbin/openvpn.attributes.sh
client-disconnect /usr/local/sbin/openvpn.attributes.sh
local WAN IP
tls-server
server 10.10.10.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc/server1
username-as-common-name
plugin /usr/local/lib/openvpn/plugins/openvpn-plugin-auth-script.so /usr/local/sbin/ovpn_auth_verify_async user 111111111= false server1 1194
tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'VPNServer' 1"
lport 1194
management /var/etc/openvpn/server1.sock unix
push "route 192.168.1.0 255.255.255.0"
client-to-client
ca /var/etc/openvpn/server1.ca 
cert /var/etc/openvpn/server1.cert 
key /var/etc/openvpn/server1.key 
dh /etc/dh-parameters.2048
tls-auth /var/etc/openvpn/server1.tls-auth 0
ncp-disable
compress lz4-v2
persist-remote-ip
float
topology subnet
route 10.0.0.0 255.255.225.0

                csc

                iroute 10.0.0.0 255.255.255.0
                werterW K L 3 Replies Last reply Reply Quote 0
                • werterW
                  werter @atel
                  last edited by

                  Добрый.

                  @atel said in OPENVPN не видно сеть за клиентом:

                  Сейчас появился второй клиент, он находиться в одной частной локальной сети с первым.

                  У Вас локальная адресация в сетях обоих клиентов совпадает?

                  Немного др. ситуация, но вдруг натолкнет на мысль https://docs.netgate.com/pfsense/en/latest/recipes/openvpn-nat-subnets-conflict.html

                  A 1 Reply Last reply Reply Quote 0
                  • A
                    atel @werter
                    last edited by

                    @werter Да, получаеться что совпадает. Спасибо, сейчас ознакомлюсь.

                    1 Reply Last reply Reply Quote 0
                    • K
                      Konstanti @atel
                      last edited by

                      @atel
                      Здр
                      А не проще в таком случае уже сделать Site-to-Site соединение ?
                      Это при условии ,что оба клиента находятся физически в одной сети

                      A 1 Reply Last reply Reply Quote 0
                      • L
                        luha @atel
                        last edited by

                        @atel Для каждого клиента отдельно создан пользователь ovpn на pf со своим сертификатом или с одного и того-же пакета настроено?

                        A 1 Reply Last reply Reply Quote 0
                        • A
                          atel @luha
                          last edited by

                          @luha Добрый день. У каждого пользователя свой сертифика и пользователь

                          1 Reply Last reply Reply Quote 0
                          • A
                            atel @Konstanti
                            last edited by

                            @konstanti Добрый день. Если под Site-to-Site вы подразумеваете что соединение между роутерами, это не подходит. т.к клиенты находится на digital ocean и объедены в private network.

                            K 1 Reply Last reply Reply Quote 0
                            • K
                              Konstanti @atel
                              last edited by Konstanti

                              @atel
                              Здр
                              Да . именно это я и имел в виду .
                              Это сильно упростило бы решение Вашей проблемы

                              Иначе , лично я вижу для Вас такие проблемы (для клиентов , находящихся в одной сети ) и при той конфигурации , которая сейчас Вами используется

                              1. на любом клиенте нужно давать возможность маршрутизировать трафик
                              2. придется бороться с ассиметричной маршрутизацией

                              есть еще одно решение

                              Для каждого клиента делать отд маршрут в таблице маршрутизации PF
                              192.168.1.0/24 - 10.0.0.3/32 через openvpn1
                              192.168.1.0/24 - 10.0.0.2/32 через openvpn2
                              вместо
                              192.168.1.0/24 - 10.0.0.0/24

                              A 1 Reply Last reply Reply Quote 0
                              • A
                                atel @Konstanti
                                last edited by

                                @konstanti Дабовлял такие маршруты в настройки OpenVPN, Но почему-то они не применяются... 
                                route 10.10.10.2 255.255.254.0 10.0.0.2;
                                route 10.10.10.3 255.255.254.0 10.0.0.3;

                                K werterW 2 Replies Last reply Reply Quote 0
                                • K
                                  Konstanti @atel
                                  last edited by

                                  @atel
                                  так Вы посмотрите/покажите на таблицу маршрутизации PF/ клиента после соединения обоих , и проверьте

                                  1. все ли верно настроили ?
                                  2. все ли выглядит как надо ?
                                  A 1 Reply Last reply Reply Quote 0
                                  • werterW
                                    werter @atel
                                    last edited by werter

                                    @atel

                                    У вас клиенты при подкл. по впн должны получать РАЗНЫЕ ip. На схеме вижу одинаковый (10.10.10.2) для обоих клиентов.
                                    Или создайте по серверу для каждого клиента или выдавайье клиента ФИКСИРУЕМЫЕ ip при подключении по впн.

                                    A 1 Reply Last reply Reply Quote 0
                                    • A
                                      atel @werter
                                      last edited by atel

                                      @werter said in OPENVPN не видно сеть за клиентом:

                                      Или создайте по серверу для каждого клиента или выдавайье клиента ФИКСИРУЕМЫЕ ip при подключении по впн

                                      Опечатка)) они получают разные ip и за каждым клиентом закреплен свой ip.

                                      werterW 1 Reply Last reply Reply Quote 0
                                      • werterW
                                        werter @atel
                                        last edited by werter

                                        @atel
                                        Так пробовали ?

                                        route 10.0.0.2 255.255.255.0 10.10.10.2;
                                        route 10.0.0.3 255.255.255.0 10.10.10.3;

                                        A 1 Reply Last reply Reply Quote 0
                                        • A
                                          atel @Konstanti
                                          last edited by atel

                                          @konstanti img-2021-02-05-11-06-12.png img-2021-02-05-10-59-47.png

                                          Вот таблица маршрутизации. Насколько я понимаю проблема в автоматическом маршруте (выделенный красный). Но в настройках csc нельзя поставить только ip. IP отличаются от схемы, но суть не меняется.

                                          1 Reply Last reply Reply Quote 0
                                          • A
                                            atel @werter
                                            last edited by atel

                                            @werter Да пробовал. Я понимаю что надо указать маршрут какой ip идет через какой шлюз. Но не могу понять почему эти маршруты не применяются.

                                            L K 2 Replies Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.