Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Направить траффик определённой подсети через OpenVPN

    Russian
    2
    11
    66
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      MythOfTheLight last edited by

      Сеть построена на коммутаторах с pfSense 2.4.5_1 x64
      Во всех зданиях фиксированный белый IP адрес (WAN DHCP)

      На pfsense 1 поднято два VPN сервера:

      • Server mode = Peer-to-Peer (SSL/TLS) на порту 1194 с параметрами
        IPv4 Tunnel Network = 10.10.10.0/24
        IPv4 Local network(s) = 192.168.114.0/24
        IPv4 Remote network(s) = 192.168.11.0/24, 192.168.12.0/24, 192.168.21.0/24, 192.168.22.0/24
        Для каждого клиента на вкладке Client specific overrides прописан
        Advanced = iroute 192.168.11.0 255.255.255.0

      • Server mode = Remote Access (SSL/TLS + User Auth) на 1195 порту с параметрами
        IPv4 Tunnel Network = 10.61.0.0/24
        Redirect IPv4 Gateway = Force all client-generated IPv4 traffic through the tunnel.
        Inter-client communication = Allow communication between clients connected to this server

      На всех остальных pfsense 2-5 настроен VPN клиент:

      • Peer-to-Peer (SSL/TLS)
        IPv4 Tunnel Network = 10.10.10.0/24
        IPv4 Remote network(s) = 192.168.11.0/24, 192.168.12.0/24, 192.168.21.0/24, 192.168.22.0/24, 192.168.114.0/24, 10.61.0.0/24 - без собственной подсети

      В результате трафик ходит полностью между всеми зданиями, и между мобильными клиентами (по виртуальным адресам)

      Каждый pfSense имеет WAN2 интерфейс с настроенным статическим адресом (физически в ЦОД) и имеет запись в System -> Routing -> Static Routes

      • Destination network = 172.16.0.0/16
        Gateway = WAN2_DHCP - 172.16.1.2 (до 6 соответственно)

      Структура отражена на схеме
      Схема VPN 1.jpg

      Все мобильные клиенты имеют доступ к серверу в ЦОДе, т.к. весь их траффик идёт через pfsense 1. Все остальные клиенты имеют доступ к серверу в ЦОДе через WAN2 своего pfsense.

      Появилась необходимость избавиться от WAN2 интерфейсов на всех точках, кроме pfsense 1, и пустить траффик до ЦОДа через OpenVPN соединение.

      • при изменении в конфиге VPN SERVER pfsense 1 в поле
        IPv4 Local network(s) = 192.168.114.0/24, 172.16.0.0/16
        а в конфиге VPN Client pfsense 2-5 в поле
        IPv4 Remote network(s) =192.168.11.0/24, 192.168.12.0/24, 192.168.21.0/24, 192.168.22.0/24, 192.168.114.0/24, 10.61.0.0/24, 172.16.0.0/16

      Команда traceroute с самого pfsense 2 выдаёт результат

      • 1 10.10.10.1 1.750 ms 1.052 ms 1.019 ms
      • 2 172.16.1.2 1.441 ms 1.221 ms 1.262 ms
      • 3 * * *
      • 4 11.0.0.1 2.322 ms 2.183 ms 2.147 ms
      • 5 172.16.1.1 2.378 ms 2.475 ms 2.492 ms

      При этом с клиентов доступа к сети нет (WAN 2 отключен, статический маршрут отключен). Какие дополнительно требуются настройки, чтоб была видимость сети с клиентов?

      werter 1 Reply Last reply Reply Quote 0
      • werter
        werter @MythOfTheLight last edited by werter

        Добрый.
        @mythofthelight

        2021-02-19 14_24_00-Направить траффик определённой подсети через OpenVPN _ Netgate Forum - Vivaldi.png

        Появилась необходимость избавиться от WAN2 интерфейсов на всех точках, кроме pfsense 1, и пустить траффик до ЦОДа через OpenVPN соединение.

        Вы ВЕСЬ траффик хотите в туннель завернуть?

        Каждый pfSense имеет WAN2 интерфейс с настроенным статическим адресом
        (физически в ЦОД) и имеет запись в System -> Routing -> Static Routes

        Если ВАН единственный, то по-дефолту в него уходит ВЕСЬ трафик.
        Вам же достаточно правила fw на ЛАН, где в src - LAN net, dst - 172.16.0.0/16 и ЯВНО gw - 172.16.1.2
        И поставить его выше всех.
        Не надо руками роут добавлять.

        При этом с клиентов доступа к сети нет (WAN 2 отключен, статический маршрут отключен). Какие дополнительно требуются настройки, чтоб была видимость сети с клиентов?

        Овпн 146% МЕДЛЕННЕЕ вашего ВАН2. Если нет необходимости, но пользуйте ВАН2.
        Овпн оставьте для внешних клиентов.

        M 1 Reply Last reply Reply Quote 0
        • M
          MythOfTheLight @werter last edited by

          @werter 13c858fd-270b-415d-bdfd-73c63768801a-image.png

          Для каждого адреса прописан iroute (по сертификату), трафик между всеми зданиями ходит успешно (включая OpenVPN Client под Windows)

          Трафик в ВПН нужно пустить не только для имеющихся собственных подсетей за другими pfsense, но и трафик в сетку 172.16.0.0/16 за вторым WAN интерфейсом головного адреса.

          Если пустить ВЕСЬ траффик в VPN соединение
          4c5e7138-2bfe-46d9-aa2b-777df5c47113-image.png

          • тогда всё работает, но тогда весь трафик клиентов идёт в головное здание и нагружает 70 мбит канала, хотя у каждого 50 мбит свой канал.
          werter 2 Replies Last reply Reply Quote 0
          • werter
            werter @MythOfTheLight last edited by werter

            @mythofthelight

            Чем не вариант со схемой ВАН2? Это дорого?

            Овпн 146% МЕДЛЕННЕЕ вашего ВАН2. Если нет необходимости, но пользуйте ВАН2.
            Овпн оставьте для внешних клиентов.

            1 Reply Last reply Reply Quote 0
            • werter
              werter @MythOfTheLight last edited by werter

              @mythofthelight

              2021-02-19 14_59_12-Направить траффик определённой подсети через OpenVPN _ Netgate Forum - Vivaldi.png
              Выделенное удалить

              И почему в Remote network так мало сетей? На вашем скрине CSC Overrides их гораздо больше.
              Remote networks = CSC Overrides по кол-ву

              M 2 Replies Last reply Reply Quote 0
              • M
                MythOfTheLight @werter last edited by

                @werter Схема VPN 1.jpg
                надо грубо говоря такую схему - трафик в ЦОД через openvpn головного здания.
                Стоимость подключения слишком высокая, чтоб содержать такую прорву зданий, при этом нагрузки достаточно и одного канала из головного здания.

                werter 1 Reply Last reply Reply Quote 0
                • M
                  MythOfTheLight @werter last edited by

                  @werter я пример привёл, все 18 сетей замучался бы расписывать. Если удалить 31a43edf-733f-4959-9694-752db9534675-image.png
                  то не будет связи с клиентов филиалов и клиентов мобильных. Без 192.168.114.0/24 у клиентов - вообще трафик не идёт в головное здание, без 172 подсети в списке - traceroute вообще не едет в сторону WAN2 Головного здания даже с самого pfsense

                  werter 1 Reply Last reply Reply Quote 0
                  • werter
                    werter @MythOfTheLight last edited by werter

                    @mythofthelight
                    Ок.

                    Удаляйте то, что выделил до этого.

                    Удалите роуты, к-ые РУКАМИ добавляли:

                    Каждый pfSense имеет WAN2 интерфейс с настроенным статическим адресом (физически в ЦОД) и имеет запись в System -> Routing -> Static Routes

                    Исправьте то, что написал выше про Remote networks = CSC Overrides

                    1 Reply Last reply Reply Quote 0
                    • werter
                      werter @MythOfTheLight last edited by werter

                      @mythofthelight said in Направить траффик определённой подсети через OpenVPN:

                      то не будет связи с клиентов филиалов и клиентов мобильных. Без 192.168.114.0/24 у клиентов - вообще трафик не идёт в головное здание, без 172 подсети в списке - traceroute вообще не едет в сторону WAN2 Головного здания даже с самого pfsense

                      Мил человек, НЕЛЬЗЯ иметь одинаковые значения в Локал и Ремоут.
                      У вас не с этим проблема.
                      Описал в предыдущем посте КАК.

                      1 Reply Last reply Reply Quote 0
                      • werter
                        werter last edited by

                        @MythOfTheLight

                        И да 172.16.0.0/12
                        Если уж по-классике.

                        M 1 Reply Last reply Reply Quote 0
                        • M
                          MythOfTheLight @werter last edited by

                          @werter благодарю, в воскресенье попробую перенастроить всю сеточку по описанной схеме - проверю что получится.

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post

                          Products

                          • Platform Overview
                          • TNSR
                          • pfSense
                          • Appliances

                          Services

                          • Training
                          • Professional Services

                          Support

                          • Subscription Plans
                          • Contact Support
                          • Product Lifecycle
                          • Documentation

                          News

                          • Media Coverage
                          • Press
                          • Events

                          Resources

                          • Blog
                          • FAQ
                          • Find a Partner
                          • Resource Library
                          • Security Information

                          Company

                          • About Us
                          • Careers
                          • Partners
                          • Contact Us
                          • Legal
                          Our Mission

                          We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

                          Subscribe to our Newsletter

                          Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

                          © 2021 Rubicon Communications, LLC | Privacy Policy