OPENVPN не видно сеть за клиентом
-
@atel
push "route 192.168.1.0 255.255.255.0" - лишнее
Этот пункт есть в настройках сервера (Local network)Достаточно указать ПРАВИЛЬНЫЙ common name и директиву iroute ...;
Ps/ Не надо использовать сети 192.168.(0|1).0 на работе. Нарветесь на ситуацию, когда удаленная сеть будеть иметь туже адресацию.
-
This post is deleted! -
Доброго времени суток. Опять вопрос по OpenVPN. Есть роутер pfsense 2.4.5-RELEASE-p1, на нем настроен openvpn. Клиент подключается и получает полный доступ к сети за pfsense и благодаря @pigbrother pfsense получает доступ на внутренний ip клиента. Сейчас появился второй клиент, он находиться в одной частной локальной сети с первым. И получается так, кто первый подключиться тот и получает маршрут и пингуеться по-внутреннему ip. Необходимо чтобы оба клиента пинговались по-внутреннему ip. Подскажите как решить данные задачку?
server config
dev ovpns1 verb 1 dev-type tun dev-node /dev/tun1 writepid /var/run/openvpn_server1.pid #user nobody #group nobody script-security 3 daemon keepalive 10 60 ping-timer-rem persist-tun persist-key proto udp4 cipher AES-256-CBC auth SHA256 up /usr/local/sbin/ovpn-linkup down /usr/local/sbin/ovpn-linkdown client-connect /usr/local/sbin/openvpn.attributes.sh client-disconnect /usr/local/sbin/openvpn.attributes.sh local WAN IP tls-server server 10.10.10.0 255.255.255.0 client-config-dir /var/etc/openvpn-csc/server1 username-as-common-name plugin /usr/local/lib/openvpn/plugins/openvpn-plugin-auth-script.so /usr/local/sbin/ovpn_auth_verify_async user 111111111= false server1 1194 tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'VPNServer' 1" lport 1194 management /var/etc/openvpn/server1.sock unix push "route 192.168.1.0 255.255.255.0" client-to-client ca /var/etc/openvpn/server1.ca cert /var/etc/openvpn/server1.cert key /var/etc/openvpn/server1.key dh /etc/dh-parameters.2048 tls-auth /var/etc/openvpn/server1.tls-auth 0 ncp-disable compress lz4-v2 persist-remote-ip float topology subnet route 10.0.0.0 255.255.225.0
csc
iroute 10.0.0.0 255.255.255.0
-
Добрый.
@atel said in OPENVPN не видно сеть за клиентом:
Сейчас появился второй клиент, он находиться в одной частной локальной сети с первым.
У Вас локальная адресация в сетях обоих клиентов совпадает?
Немного др. ситуация, но вдруг натолкнет на мысль https://docs.netgate.com/pfsense/en/latest/recipes/openvpn-nat-subnets-conflict.html
-
@werter Да, получаеться что совпадает. Спасибо, сейчас ознакомлюсь.
-
@atel
Здр
А не проще в таком случае уже сделать Site-to-Site соединение ?
Это при условии ,что оба клиента находятся физически в одной сети -
@atel Для каждого клиента отдельно создан пользователь ovpn на pf со своим сертификатом или с одного и того-же пакета настроено?
-
@luha Добрый день. У каждого пользователя свой сертифика и пользователь
-
@konstanti Добрый день. Если под Site-to-Site вы подразумеваете что соединение между роутерами, это не подходит. т.к клиенты находится на digital ocean и объедены в private network.
-
@atel
Здр
Да . именно это я и имел в виду .
Это сильно упростило бы решение Вашей проблемыИначе , лично я вижу для Вас такие проблемы (для клиентов , находящихся в одной сети ) и при той конфигурации , которая сейчас Вами используется
- на любом клиенте нужно давать возможность маршрутизировать трафик
- придется бороться с ассиметричной маршрутизацией
есть еще одно решение
Для каждого клиента делать отд маршрут в таблице маршрутизации PF
192.168.1.0/24 - 10.0.0.3/32 через openvpn1
192.168.1.0/24 - 10.0.0.2/32 через openvpn2
вместо
192.168.1.0/24 - 10.0.0.0/24 -
@konstanti Дабовлял такие маршруты в настройки OpenVPN, Но почему-то они не применяются...
route 10.10.10.2 255.255.254.0 10.0.0.2;
route 10.10.10.3 255.255.254.0 10.0.0.3; -
@atel
так Вы посмотрите/покажите на таблицу маршрутизации PF/ клиента после соединения обоих , и проверьте- все ли верно настроили ?
- все ли выглядит как надо ?
-
У вас клиенты при подкл. по впн должны получать РАЗНЫЕ ip. На схеме вижу одинаковый (10.10.10.2) для обоих клиентов.
Или создайте по серверу для каждого клиента или выдавайье клиента ФИКСИРУЕМЫЕ ip при подключении по впн. -
@werter said in OPENVPN не видно сеть за клиентом:
Или создайте по серверу для каждого клиента или выдавайье клиента ФИКСИРУЕМЫЕ ip при подключении по впн
Опечатка)) они получают разные ip и за каждым клиентом закреплен свой ip.
-
@atel
Так пробовали ?route 10.0.0.2 255.255.255.0 10.10.10.2;
route 10.0.0.3 255.255.255.0 10.10.10.3; -
Вот таблица маршрутизации. Насколько я понимаю проблема в автоматическом маршруте (выделенный красный). Но в настройках csc нельзя поставить только ip. IP отличаются от схемы, но суть не меняется.
-
@werter Да пробовал. Я понимаю что надо указать маршрут какой ip идет через какой шлюз. Но не могу понять почему эти маршруты не применяются.
-
@atel Действительно. Попробуйте серверы разные создавать. Это не сложно, иногда бывает даже нужно. Я сразу на старте сделал два - для TUN и для TAP и уже много раз было что помогло это.
-
@atel
Еще - как вариант , использовать PBR
"пихаете " весь трафик насильно для клиента 1 через ovpns1
для второго через opvpns2это делается в настройках правил Lan интерфейса
-
Все спасибо за участие. Вы подтолкнули в нужную сторону. Решил таким способом.
В настройка OpenVPN Server прописал
route 10.0.0.2 255.255.255.255 10.10.10.2;
route 10.0.0.3 255.255.255.255 10.10.10.3;
В csc клиентов прописал следующие;
iroute 10.0.0.2 255.255.255.255
iroute 10.0.0.3 255.255.255.255
И получилось что каждый клиент имеет строгий маршрут.