OpenVPN site-to-site HELP!!!



  • Уважаемые гуру! Прошу помощи в разрешении следующей проблемы: имеются два офиса lan1 10.0.3.0/24 и lan2 10.0.0.0/24. Там и там стоят машины с установленным pfSense 1-2-2. Настроил соединение OpenVPN между офисами как описано в tutorials с shared.keys. Туннель поднялся, но нельзя из одной локалки достучаться в другую. В фаерволе правила по умолчанию: из лана можно все, на WANе открыт порт 1194. Бьюсь уже неделю - не пойму в чем дело. Прошу сильно не бить, во FreeBSD новичок ((



  • в custom options вписывали route, чтона одной стороне что на другой…



  • @fox:

    в custom options вписывали route, чтона одной стороне что на другой…

    Нет не вписывал. А что там нужно вписать? У меня такая вот конфигурация сети: имеются два удаленных офиса, скажем офис1 и офис2. Там и там установлен pfSense. Нужно, чтобы машины одной сети видели машины другой сети. Настройки сетей такие:
    Офис1
    LAN 10.0.0.0/24
    WAN белый статический IP

    Офис2
    LAN 10.0.3.0/24
    WAN PPPoE подключение

    Настройки OpenVPN в офисе1
    server
    Protocol UDP
    Dynamic IP checked
    Port 1194
    Address pool 10.0.10.0/24
    Remote net 10.0.3.0/24
    Cryptography BF-CBC9128bit)
    Authentication method Shared key
    shared.key

    Настройки OpenVPN в офисе2
    client
    Protocol UDP
    Server IP WAN pfSense офис1
    Server port 1194
    Interface IP 10.0.10.0/24
    Remote network 10.0.0.0/24
    Cryptograpy BF-CBC(128bit)
    Authentication method Shared key
    shared.key

    После сохранения настроек устанавливается туннель 10.0.10.1 –> 10.0.10.2
    C LAN офис1 есть пинг на 10.0.10.2, соответственно с LAN офис2 есть пинг на 10.0.0.1 А вот между сетями офисов пинг не идет ((
    В файеровлах офисных на LAN интерфейсах разрешено все туда-сюда. На WAN офиса1 открыт порт 1194 UDP
    Подскажите, что конкретно нужно вписать в custom options в моем случае и что еще может быть нужно настроить?



  • там где server в custom options прописываем route 192.168.0.0 255.255.0.0; push "route 192.168.1.0 255.255.255.0" ( 192.168.1.0 - нужно подставить подсеть сети в котором расположен сервер.. ).

    В client-specific configuration ( клиент ) т.е клиент который цепляется к серверу в custom options вписываем iroute 192.168.2.0 255.255.255.0 - подесеть клиента…
    Удачи.....



  • @fox:

    там где server в custom options прописываем route 192.168.0.0 255.255.0.0; push "route 192.168.1.0 255.255.255.0" ( 192.168.1.0 - нужно подставить подсеть сети в котором расположен сервер.. ).

    В client-specific configuration ( клиент ) т.е клиент который цепляется к серверу в custom options вписываем iroute 192.168.2.0 255.255.255.0 - подесеть клиента…
    Удачи.....

    т.е. для моего случая где сервер в custom options прописываем route 10.0.0.0 255.255.0.0; push "route 10.0.0.0 255.255.255.0"
    и на сервере же в client-specific configuration для client1 прописываем iroute 10.0.3.0 255.255.255.0
    После таких изменений пошел пинг между машинами с pfSense!!! Но вот дальше пинг не идет (( Т.е. с pfSense (офис1 сервер) c ip 10.0.3.253 пингуется pfSense (офис2 клиент) c ip 10.0.0.253 и наоборот. А вот пропинговать хост сети 10.0.0.0/24 с любого хоста сети 10.0.3.0/24 или наоборот не получается. Где тут собака порылась???



  • А на машинах в сетях обоих офисов адреса этих pfSense'ов стоят как Default Gateway?



  • @Eugene:

    А на машинах в сетях обоих офисов адреса этих pfSense'ов стоят как Default Gateway?

    Нет, там прописан другой гейтвей. Я пока что настраиваю только машины c pfSense.
    Я не совсем корректно задал вопрос )) Имеется в виду, что пинг идет между pfSense офисов, а вот с pfSense одного офиса нельзя пропинговать любой хост сети другого офиса. Вероятно нужно сделать записи в статик маршрутизации?



  • Да, если gateway не указывает на pfSense, то нужны статические маршруты.



  • Все заработало!!! Всем спасибо за помощь!


Log in to reply