OVPN между pfSense
-
Есть два PF. А (2.3.4-RELEASE-p1) и Б (2.4.5-RELEASE-p1)
Раньше вместо Б был Mikrotik. Все работало.
Как ипользуюя те же настройки, сертификаты, настроить соединение.П.С. Прочитал много описаний, но что то не выходит. Не подниматься OpenVPN.
-
@toxansk said in OVPN между pfSense:
Не подниматься OpenVPN
Не поднимается туннель или не ходят пакеты между сетями?
Что говорят логи? -
@toxansk Mikrotik поддерживает OpenVPN только по TCP протоколу
На pfSense 2.4.5-p1 нужно применить патч исправляющий глюк с OpenVPN/TCP:
https://redmine.pfsense.org/issues/10650:- Устанавливаете пакет System Patches https://docs.netgate.com/pfsense/en/latest/development/system-patches.html
- Указываете 6ac20ad3db7bcb34ab72dcb16ced6c1e89802595 в поле Patch ID
- Жмёте fetch/apply и перезапускаете OpenVPN
-
@pigbrother Не поднимается.
Не могу вставить лог.
Типа СПАМ. -
@viktor_g
Это знаю. Меняю на udp. Должно же аналогично работать. Сертификаты сервера и клиента с сервера переписал. -
@toxansk запакуйте лог ZIPом и добавьте вложением
-
@ToXaNSK
Если надо оч. быстро в плане скорости - пользуйте ipsec. Или дождитесь wireguard. -
@viktor_g
ovpn поднялось но сети не доступны.
Какие то маршруты надо прописывать дополнительно?@werter said in OVPN между pfSense:
@ToXaNSK
Если надо оч. быстро в плане скорости - пользуйте ipsec. Или дождитесь wireguard.Мyе надо временно перенастроить с микротика на pf.
Замена железа в точке А и потом только ipsec или wireguard. -
@toxansk конечно, нужно прописать в Local Networks какие локальные сети будут доступны через вас удалённому пиру, и в Remote Networks - наооборот
см. пример https://docs.netgate.com/pfsense/en/latest/recipes/openvpn-s2s-tls.html
-
@viktor_g
Это есть. Но сети не доступны.
Сервер и клиент видят только свою сторону тунеля.
На стороне сервера в Client Specific Overrides надо что то писать? -
@toxansk Распишите подробнее что у вас за сеть
Проверьте настройки файрволла для OpenVPN вкладки -
@toxansk said in OVPN между pfSense:
На стороне сервера в Client Specific Overrides надо что то писать?
Конечно. Сеть за клиентом OVPN.
@toxansk said in OVPN между pfSense:
был Mikrotik
Для Микротик вы же ее тоже указывали.
-
@pigbrother
В Микротике я прописал маршрут руками.
В PF такого сделать нельзя, нет GW с OVPN.Подскажите, как правильно написать.
iroute или route 172.16.4.0 255.255.255.0где 172.16.4.0/24 сеть на стороне клиента.
А клиенту где указать сеть на стороне сервера?
Сервер
172.16.4.0/24 10.88.88.2 UGS 38 1500 ovpns1
Клиент
192.168.0.0/24 10.88.88.1 UGS 877 1500 ovpnc1
192.168.10.0/24 10.88.88.1 UGS 0 1500 ovpnc110.88.88.1 Сервер
10.88.88.2 Клиент -
@toxansk said in OVPN между pfSense:
Подскажите, как правильно написать.
iroute или route 172.16.4.0 255.255.255.0route\или IPv4 Remote network(s) в настройках сервера
И ее же в iroute в Client Specific Overrides.@toxansk said in OVPN между pfSense:
А клиенту где указать сеть на стороне сервера?
Она ему будет передана автоматически при заполнении поля IPv4 Local network(s) на сервере
-
@pigbrother said in OVPN между pfSense:
route\или IPv4 Remote network(s) в настройках сервера
Это есть.
@pigbrother said in OVPN между pfSense:
И ее же в iroute в Client Specific Overrides.
Добавил.
@pigbrother said in OVPN между pfSense:
Она ему будет передана автоматически при заполнении поля IPv4 Local network(s) на сервере
Это было
Не помогло
-
@toxansk said in OVPN между pfSense:
@pigbrother said in OVPN между pfSense:
route\или IPv4 Remote network(s) в настройках сервера
Это есть.
@pigbrother said in OVPN между pfSense:
И ее же в iroute в Client Specific Overrides.
Добавил.
@pigbrother said in OVPN между pfSense:
Она ему будет передана автоматически при заполнении поля IPv4 Local network(s) на сервере
Это было
Не помогло
Давайте скриншоты настроек клиента и сервера, Client Specific Overrides и Настройки файрволла для OpenVPN вкладки
-
@pigbrother
Сервер
Клиент
CSO
Rules
-
@toxansk Отличия от того, что у меня:
Я не задаю маску /30 в настройках сети туннеля на сервере
Не ограничиваю число соединений до 1
Не указываю сеть туннеля в настройках клиента
Не указываю никакие сети за сервером в настройках клиентаНет ли ошибки в Common Name в CSO на сервере?
-
@pigbrother
Сыпятся ошибки на компрессию.
На yесоответствие mtuЭто вкладки компресси для сервера (2.3.4-RELEASE-p1 (i386)) и клиента (2.4.5-RELEASE-p1 (amd64))
-