Настройка OpenVPN за домашним роутером
-
Здоровья всем!
Нужна помощь в настройке OpenVPN на pfsense за роутерами.
Проблема следующая:
Есть домашняя сеть 192.168.10.0/24
Есть загородная сеть (допустим, дача с видеонаблюдением) 192.168.20.0/24
И дома и на даче есть роутеры, получающие инет от провайдера (оба TP-link, но разные модели, детали не существенны). Один получает инет по проводу, второй через симку МТС (usb-модем не используется, в роутере есть слот под симку). Дома за доплату получен белый ip-адрес, на даче МТС давать белый ip не хочет, поэтому было принято решение поставить допом два pfsence, благо есть обломки компов, которые можно использовать в качестве базы для pfsense.
Эти компы стоят ПОСЛЕ роутеров и получают по DHCP ip-адреса на wan интерфейсы. Условно, домашний 192.168.10.100, дачный 192.168.20.100.
Адреса роутеров, соответственно, 192.168.10.1 и 192.168.20.1.
Домашний pfsense настроен в качестве OpenVPN сервера, т.к. у него есть белый ip-адрес, дачный - как клиент. Настроено всё было по официальной инструкции https://docs.netgate.com/pfsense/en/latest/recipes/openvpn-s2s-tls.html.
Туннель между ними 192.168.100.0/24.
Ни на одном из них нет LAN интерфейсов, только WAN.
На роутерах настроен проброс портов на OpenVPN (1194).
На pfsense настроены правила как на WAN интерфесах, так и на VPN.
Проблема в следующем: Клиент коннектится к серверу, соединение есть. С самих pfsense пинг проходит, сети друг друга видят. Есть пинги в том числе на видеорегистратор. НО, в браузере с компа я не могу войти на адреса что роутера, что регистратора, что самого pfsense. С компов что домашней сети, что дачной, пинги не идут, только с самих pfsense.
Подскажите, куда копать, или, если кто сталкивался, подскажите решение. Я знаю, что лучшим вариантом было бы поставить компы вместо роутеров, но тогда это не было бы так интересно. В инете нашёл совет по уменьшению MTU на OpenVPN - пока не пробовал.
Если на домашнем сервере настроить соединение типа remote access, то с телефона спокойно подключаюсь и могу заходить на все адреса домашней сети -
Дополнение: Уменьшение MTU не помогло. Возможно нужно настраивать NAT или какие-то маршруты, но я в этом не силён.
-
Добрый
@mustdie89Ни на одном из них нет LAN интерфейсов, только WAN.
О чем речь?
Совет:
По возможности убрать тп-линки из схемы (тот, что с симкой можно в режим моста перевести?). Пф-ы должны быть в приоритете.
Если нужен ви-фи, то откл. dhcp и пусть работает как простая AP.Зы. Может лучше приобрести микротик (можно б\у) и настроить ipsec между ними? Эта схема менее прожорливей, чем PC + tp-link-и.
-
@werter said in Настройка OpenVPN за домашним роутером:
Ни на одном из них нет LAN интерфейсов, только WAN.
О чем речь?
Речь о pfsens'ах, на них нет LAN интерфейсов. Т.е. физически на каждом из них по одному интерфейсу, который используется как WAN.
При этом, как я уже говорил, если настроить на любом из них сервер типа Remote-Access, то отдельно устройства (например, телефон) к нему подключаются и я вижу все оборудование в сети с телефона.
Проблема именно в том, сети друг друга видят, соединение есть, но ни с одного устройства, кроме самих pfsense, ни одно другое не видно.
Складывается впечатление, что нужна какая-то дополнительная маршрутизация из VPN на внутреннюю сеть с обоих концов.
По поводу замены оборудования и т.п. - как я уже писал, я понимаю, что по-хорошему нужно бы сделать так, но меня интересует именно данный конкретный случай -
Добрый.
@mustdie89Речь о pfsens'ах, на них нет LAN интерфейсов.
Это НЕ НОРМАЛЬНЫЙ режим работы для пф. В этом может быть дело.
Попробуйте галки System/Advanced/Firewall & NAT на Disable all packet filtering и\или Bypass firewall rules for traffic on the same interfaceПроблема именно в том, сети друг друга видят, соединение есть, но ни с одного устройства, кроме самих pfsense, ни одно другое не видно
Про iroute почитайте (овпн должен быть на сертификатах).
-
@werter Спасибо за совет - не помогло. По поводу iroute (и вообще по OpenVPN) прочитал всё уже, до чего добрался. Оказалось, дело не в этом.
-
Проблема решена. Нужно было всего-то на роутерах TP-Link, которые перед pfsens'ами стоят, прописать статическую маршрутизацию, которая направляет весь трафик с OpenVPN соединений на шлюз pfsense.
Если кому надо будет, позже могу сделать более подробное описание с решением, потому как сам долго допереть не мог. -
@mustdie89
Поздравляю )
Опишите КАК.
Не оч. понятно, причем тут тп-линки, если они лишь отвечают за инет и не участвуют в овпн.
Спасибо. -
@mustdie89 said in Настройка OpenVPN за домашним роутером:
позже могу сделать более подробное описание с решением,
Если можно. С указанием где какая подсеть.
-
Спасибо за поздравления, но, как оказалось, ещё рано ) Не всё смог победить.
Если описать по-простому, то вот, что сейчас есть и как оно работает:
Поскольку роутеры (TP-Link) выдают инет на внутренние устройства, а pfsense только лишь с WAN интерфесами (т.е. в раздаче инета они не участвуют), то связь по OpenVPN есть, но только на pfsense. Устройства никак сеть эту не видят, но имеют выход в инет через TP-Link'и. Точнее, видят, но не видят второй конец. Предположим, что туннель 172.16.55.0/24. Получается, что с одного конца устройства видят 172.16.55.1, но не видят 172.16.55.2, а сдругого конца - наоборот.
Чтобы всё заработало, я добавил на роутеры статическую маршрутизацию, посколько именно они являются шлюзом по умолчанию для всех устройств в сети. Т.е. когда обращение идёт в инет, роутеры ничего не делают и тупо выпускают в инет. Если я с какого-либо устройства ввожу адрес в удалённой сети (типа 192.168.20.5), то TP-Link'и это дело видят и отправляют пакет не через инет, а на pfsense, который уже отправляет пакеты на другой конец. Вот как-то так.
Осталась одна проблема. В целом, всё работает. Я с любого компа любой сети могу подключиться к обоим pfsens'ам и обоим TP-Link'ам. Но не могу подключиться к другим компам, что странно, ведь у связки TP-link -> pfsense -> PC одна подсеть.
Примечание - если на компах прописать в default gateway ip-адрес pfsense, то в сети их становится видно, но интернет на них отваливается.
Может, криво описал, извините, но пока как-то так. Постараюсь это всё добить. Есть вероятность, что зря я полез в роутеры, и можно это было решить только на pfsense, но я пока не понял, как. В принципе, для моих нужд и этого хватит, но хочется добить до конца, чтобы с рукожопой конфигурацией, как у меня, это нормально работало )
Делать всё по инструкции, конечно, эффективнее, но не так интересно ) Если у кого есть какие ещё мысли по этому поводу - делитесь, будем ковырять дальше ) -
@mustdie89 said in Настройка OpenVPN за домашним роутером:
Если у кого есть какие ещё мысли по этому поводу
Я для эксперимента проделывал такое. Полноценный pfSense, за ним - виртуальная машина с pfSense, тоже с одним интерфейсом, на этом pfSense заработал Remote Access OpenVPN сервер. Site-to-Site не заработал.
-
@pigbrother Кстати, да, забыл сказать, что меня в домашней сети pfsense на виртуалке, а на клиенте - реальный pfsense. Оба имеют только по одному интерфейсу. Настроены на site-to-site. Чуть позже накидаю карту, как только разберусь, как на этом форуме картинки вставлять )
-
@mustdie89 said in Настройка OpenVPN за домашним роутером:
на виртуалке, а на клиенте - реальный pfsense
Это в данном случае не имеет значения.
@mustdie89 said in Настройка OpenVPN за домашним роутером:
как только разберусь, как на этом форуме картинки вставлять
Предпоследняя справа иконка над окном ответа.
-
Это настройки на сервере. На клиенте аналогичны, только вместо х.х.20.0, там стоит х.х.10.0, ну и клиент настроен по-простому, все настройки с сервера берёт.
Да, только не 172.16, а 192.168.100.0/24. На остальные адреса в насторйках OpenVPN можно не смотреть, я создал ещё сервер на remote access, чтобы с телефона можно было подключиться.
Правила в фаерволе всё везде разрешают, Outbond NAT в автоматическом режиме -
@mustdie89 said in Настройка OpenVPN за домашним роутером:
ну и клиент настроен по-простому
А Client Specific Overrides для этого клиента на сервере настроен?
Что за сети кроме 10.0/24 в Local networks сервера? Ну или зачем там сеть 20.0/24 за клиентом?
На рисунке сеть туннеля 172.16.55.0/24, в настройках сервера - 192.168.100.0/24 -
@pigbrother
Client Specific Overrides , естественно, настроены.
По поводу других сетей и 172.16.55.0 я написал чуть ниже, под рисунками.@mustdie89 said in Настройка OpenVPN за домашним роутером:
Это настройки на сервере. На клиенте аналогичны, только вместо х.х.20.0, там стоит х.х.10.0, ну и клиент настроен по-простому, все настройки с сервера берёт.
Да, только не 172.16, а 192.168.100.0/24. На остальные адреса в насторйках OpenVPN можно не смотреть, я создал ещё сервер на remote access, чтобы с телефона можно было подключиться.
Правила в фаерволе всё везде разрешают, Outbond NAT в автоматическом режимеИсправил. Просто изначально 172.16 было, забыл
@pigbrother said in Настройка OpenVPN за домашним роутером:
Ну или зачем там сеть 20.0/24 за клиентом?
А вот тут не совсем понял
-
@mustdie89 said in Настройка OpenVPN за домашним роутером:
А вот тут не совсем понял
192.168.20.0/24 - сеть за клиентом. Зачем она в Local networks сервера?
@mustdie89 said in Настройка OpenVPN за домашним роутером:
Outbond NAT в автоматическом режиме
В случае 1 интерфейса NAT ничем не занимается.
-
@pigbrother Если верить инструкциям разным, то чтобы сеть нормально роутилась меджу всеми клиентами, нужно указывать в Local Networks все сети, если я правильно понял. Могу попробовать убрать, но вряд ли это что-то изменит. Как я уже говорил, я вижу с любого компа одной сети всё оборудование другой за исключением компов в другой сети.
UPD: Убрал сеть 20.0 из local Networks, ничего не изменилось.
-
@mustdie89 said in Настройка OpenVPN за домашним роутером:
нужно указывать в Local Networks все сети,
Все сети, которые знает pfSense\Open VPN. Т.е если есть сети за другими интерфейсам\VPN туннелями\IPsec- да, если к ним нужен доступ для этого клиента. Но не к сети, к которой этот сервер будет иметь доступ через создаваемый туннель.
Для этого туннеля сеть указывается в Remote Networks -
@pigbrother Спасибо за пояснение, приму к сведению. Но для данного проекта никаких полезных изменений это не повлекло.
