OpenVPN + Keenetic не видно сеть за клиентом

Mahad

Всем привет.

Имею сеть:

192.168.1.0/24 ----PFSense-10.0.8.1 OpenVPN--Keenetic-10.0.8.2 OpenVPN Client ----192.168.171.0/24

От Кинетика 1.0/24 пингуется, а наоборот - нет, пинг проходит только до 10.0.8.2.

Захват пакетов показывает, что ICMP на 171.-0/24 не приходят, при захвате на PFSense видно, что пинг на 171.0/24 уходит в WAN интерфейс, а не в OpenVPN.

dev ovpns1
verb 3
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto tcp4-server
cipher AES-256-CBC
auth SHA256
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown

engine rdrand
tls-server
server 10.0.8.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc/server1
tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'Main+certificate+-+cert' 1"
lport 1194
management /var/etc/openvpn/server1.sock unix
max-clients 4
push "route 192.168.1.0 255.255.255.0"
client-to-client
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /etc/dh-parameters.2048
tls-auth /var/etc/openvpn/server1.tls-auth 0
ncp-ciphers AES-128-GCM
persist-remote-ip
float
topology subnet
route 192.168.171.0 255.255.255.0 10.0.8.2
push "route 192.168.1.0 255.255.255.0 10.0.8.1"

Shell Output - netstat -rWn

Routing tables

Internet:
Destination        Gateway            Flags       Use    Mtu      Netif Expire
default            213.59.207.191     UGS     9891128   1480     pppoe0
1.0.0.1            213.59.207.191     UGHS      73461   1480     pppoe0
1.1.1.1            213.59.207.191     UGHS      76414   1480     pppoe0
10.0.0.1           link#1             UHS           0  16384        lo0
10.0.0.1/32        link#1             U             0   1500       vmx0
10.0.8.0/24        10.0.8.2           UGS           0   1500     ovpns1
10.0.8.1           link#10            UHS           0  16384        lo0
10.0.8.2           link#10            UH            0   1500     ovpns1
127.0.0.1          link#4             UH     78631769  16384        lo0
192.168.0.0/16     link#1             U      882433204   1500       vmx0
192.168.1.1        link#1             UHS           0  16384        lo0
192.168.171.0/24   10.0.8.2           UGS           4   1500     ovpns1
213.59.207.191     link#9             UH        74670   1480     pppoe0
213.140.228.30     213.59.207.191     UGHS        459   1480     pppoe0
213.140.228.190    213.59.207.191     UGHS        483   1480     pppoe0

С чего начать?

werter

@mahad
Овпн на сертификатах?
Кинетик - клиент?

У вас не видно сети за клиентом. Про iroute поищите. И правила fw на обеих железках просмотрите.

ЗЫ. И снова сеть 192.168.1.0 Это какой-то лютый писец (
Вы что делать будете, если кому-то надо будет подключиться к вам с ТАКОЙ же чУдной адресацией. Смените адресацию. И никогда не пользуйте в продакшене.

Mahad

@werter

Да, на сертификатах, и keenetic - клиент.
iRoute прописан во вкладке Client Override

iroute 192.168.171.0 255.255.255.0

Никаких ограничений на Firewall нету.

Вы мне скажите, почему пинги с PFSense уходят через WAN, а не через OpenVPN? Так и должно быть? Есть чувство, что маршрутизация неправильно настроена.

viktor_g

@mahad said in OpenVPN + Keenetic не видно сеть за клиентом:

Захват пакетов показывает, что ICMP на 171.-0/24 не приходят, при захвате на PFSense видно, что пинг на 171.0/24 уходит в WAN интерфейс, а не в OpenVPN.

Пропишите 192.168.171.0/24 в OpenVPN remote networks на pfSense
и покажите настроки маршрутизации/файрволла

pfSense какой версии?

Konstanti

@mahad
Потому что у Вас маршрут к сети 192.168.0.0/16 через vmx0 настроен в таблице маршрутизации

werter

@konstanti
Браво!

werter

@mahad

iRoute прописан во вкладке Client Override

И common name там же - правильный?

Mahad

@konstanti

Как его убрать? Я излазил весь интерфейс - понятия не имею, где он задаётся.

werter

@mahad
В настройках сетевой на пф маску сменить.

Konstanti

@mahad возможно , что провайдер передаёт Вам этот маршрут при получении ip адреса
Или в настройках статических маршрутов надо искать

werter

@konstanti
Кхм. Это была бы катастрофа. Не думаю, что РТ способен на такое.

Konstanti

@werter у этого маршрута нет флага S, значит , он не статический. Надо разбираться откуда он берётся . Проще, по-моему , поменять адресацию удаленной сети , ну, и своей внутренней «до кучи»
Или пробовать pbr использовать

Mahad

@werter

Отлично! Поменял маску LAN сети, маршруты на PFSense изменились на:

Routing tables

Internet:
Destination        Gateway            Flags       Use    Mtu      Netif Expire
default            213.59.207.191     UGS    15107874   1480     pppoe0
1.0.0.1            213.59.207.191     UGHS     112790   1480     pppoe0
1.1.1.1            213.59.207.191     UGHS     122201   1480     pppoe0
10.0.0.1           link#1             UHS           0  16384        lo0
10.0.0.1/32        link#1             U             0   1500       vmx0
10.0.8.0/24        10.0.8.2           UGS           0   1500     ovpns1
10.0.8.1           link#10            UHS           0  16384        lo0
10.0.8.2           link#10            UH            0   1500     ovpns1
127.0.0.1          link#4             UH     79873291  16384        lo0
192.168.1.0/24     link#1             U        133844   1500       vmx0
192.168.1.1        link#1             UHS           0  16384        lo0
192.168.171.0/24   10.0.8.2           UGS          31   1500     ovpns1
213.59.207.191     link#9             UH       104513   1480     pppoe0
213.140.228.30     213.59.207.191     UGHS        531   1480     pppoe0
213.140.228.190    213.59.207.191     UGHS        560   1480     pppoe0

Теперь захват пакетов показывает, что пинги уходят через OpenVPN интерфейс, но на кинетике захват пакетов показывает, что к нему по подсети 171.0/24 ICMP пакеты не приходят ни на OpenVPN интерфейс, ни в другое место.

werter

@mahad
Правила fw на ЛАН,ВАН, ОВПН покажите.

Зы. И меняйте адресацию в сети. Чтобы не было проблем в ближайшем будущем.

werter

@werter

Поменял маску LAN сети, маршруты на PFSense изменились на:

Перезагружайте пф. Для чистоты.

werter

@mahad

Теперь захват пакетов показывает, что пинги уходят через OpenVPN интерфейс, но на кинетике захват пакетов показывает,

fw НА зюхеле крутите - разрешите доступ из 192.168.1.0 в 192.168.171.0 на овпн.

Mahad

@werter

Перегрузил
pfctl -sn показывает:

Антиспам защита не даёт запостить весь вывод. Вот часть

no nat proto carp all
nat-anchor "natearly/*" all
nat-anchor "natrules/*" all
nat on pppoe0 inet from <tonatsubnets> to any port = isakmp -> мой внешний IP static-port
nat on pppoe0 inet6 from <tonatsubnets> to any port = isakmp -> (pppoe0) round-robin static-port
nat on pppoe0 inet from <tonatsubnets> to any -> мой внешний IP port 1024:65535
nat on pppoe0 inet6 from <tonatsubnets> to any -> (pppoe0) port 1024:65535 round-robin
no rdr proto carp all
rdr on pppoe0 inet proto tcp from any to any port = https -> 192.168.1.231
rdr pass on vmx0 inet proto tcp from any to 10.0.0.1 port = http -> 127.0.0.1 port 8081
rdr pass on l2tp inet proto tcp from any to 10.0.0.1 port = http -> 127.0.0.1 port 8081
rdr pass on openvpn inet proto tcp from any to 10.0.0.1 port = http -> 127.0.0.1 port 8081
rdr pass on vmx0 inet proto tcp from any to 10.0.0.1 port = https -> 127.0.0.1 port 8443
rdr pass on l2tp inet proto tcp from any to 10.0.0.1 port = https -> 127.0.0.1 port 8443
rdr pass on openvpn inet proto tcp from any to 10.0.0.1 port = https -> 127.0.0.1 port 8443
rdr-anchor "miniupnpd" all

Подсетку 192.168.1.0 поменяю как всё доделаю, там надо как-то с умом подходить, а сейчас времени нет.

werter

@mahad

fw НА зюхеле крутите - разрешите доступ из 192.168.1.0 в 192.168.171.0 на овпн.

Трейсроут из сети пф в сеть кинетика пустите и смотрите где затыкается.

СКРИНОМ правила fw пф на ЛАН,ВАН, ОВПН покажите.

Mahad

@werter ![Keenetic-1.jpg]
На кинетике вообще всё разрешил

Tracert с клиента PFSense затыкается на первом же шаге после шлюза.

werter

@mahad

Tracert с клиента PFSense затыкается на первом же шаге после шлюза.

ПОКАЖИТЕ листинг.