и снова Open VPN



  • Соединяю две офисных сети туннелем, используя OpenVPN.

    Офис 1
    Статический адрес, модем подключен бриждом к pfsense
    Сеть 192.168.0.0/24
    PfSense 192.168.0.2

    конфиг - сервер:
    Protocol: UDP
    Dynamic IP: checked
    Local port: 1194
    Address pool: 192.168.10.0/24
    Use static ip: no
    Remote network: 192.168.1.0/24
    Cryptography: bf-cbc(128)
    Autentification: Shared key

    В файерволле прописано разрешать соединения на порт 1194

    Офис 2
    Динамический адрес
    Сеть 192.168.1.0/24
    Pfsense 192.168.1.1

    конфиг - клиент:
    Protocol: UDP
    Server address: 88...*
    Server port: 1194
    Interface ip: 192.168.10.0/24
    Remote network: 192.168.0.0/24
    Cryptography: bf-cbc(128)
    Autentification: Shared key

    При активации туннель создается, но возникает следующая проблема: из сети Офис 1 сеть Офис 2 пингуется без проблем, а вот из Офиса 2 сеть Офиса 1 пингуется только до адреса pfsense (т.е. пинг проходит на 192.168.0.1 и 192.168.0.2)..

    Кто-нибудь знает в чем проблема?



  • Если туннель нормально создаётся, то скорее всего дело в правилах файервола. Проблема причём может быть с любой из сторон. Или с обеих :)  Есть такой способ - сперва дать разрешений от души, а потом лишнее почикать… :)

    На всякий случай вдогонку: "дать от души, а потом почикать" - это я про технологию ловли чёрной кошки в тёмной комнате, а не про подход к структурированию правил... :)



  • Раз pfSense пингуется, то с правилами должно быть всё в порядке.

    из Офиса 2 сеть Офиса 1 пингуется только до адреса pfsense (т.е. пинг проходит на 192.168.0.1 и 192.168.0.2)..

    Это с компьютеров офиса 2 или с самого pfSense'а, что в офисе 2?



  • С Офиса 1 пингуется сеть Офиса 2 и pfsense Офиса 2..
    С Офиса 2 пингуется первый и второй ip-адреса как из сети так и с PF…

    В Файерволле стоит пропускать все подключения...

    Пробовал настроить IPSec VPN - та же картина... Из Офиса 2 пингуются только 1-й и второй адреса..

    Я так понимаю что проблему надо искать на концах туннеля, только ума не приложу где..

    Есть идеи?



  • на вскидку, в параметрах OpenVPN есть галки по доступу к сети "клиента".
    ну и правильность NAT как обычно



  • На pfSense офиса 1 запустить```
    tcpdump -ni <lan interface=""> icmp or arp</lan>



  • Когда мы пингуем из офиса 2 любой компьютер офиса 1, то на Pfsense Офиса 1 tcpdump не показывает ничего..

    При пинге из Офиса 1 Офиса 2 пакеты проходят нормально, Pfsense Офиса 2 пакеты отображает..



  • можно глянуть на правила LAN pfSense'а офиса 2 и на правила OpenVPN pfSense'а офиса 1?



  • Короче, поставил на Pfsense офиса 1 такие правила:

    LAN:


    WAN


    при этом пакеты проходят request, их видят оба PF
    а вот reply через первую машину не возвращается



  • @lokir:

    при этом пакеты проходят request, их видят оба PF
    а вот reply через первую машину не возвращается

    О! о чём это говорит? правильно, это может говорить о:

    1. файрволл на машине офиса 1.
    2. маршрутизация на машине офиса 1.
      Т.к. машина из офиса 1 может пинговать машину из офиса 2, случай 2) исключаем.


  • Ну я думаю, что проблема как раз в Pfsense Офиса 1, т.е. он не выпускает пакеты.. Как это можно решить?



  • @lokir:

    Когда мы пингуем из офиса 2 любой компьютер офиса 1, то на Pfsense Офиса 1 tcpdump не показывает ничего..

    Короче, поставил на Pfsense офиса 1 такие правила:

    LAN:


    WAN


    при этом пакеты проходят request, их видят оба PF
    а вот reply через первую машину не возвращается

    я не понял, пакеты на lan pfSense офиса 1 появились или нет? какие?



  • То есть я пингую из офиса 2 машину офиса 1:

    Pfsense 2:

    идет request, reply нет

    Pfsense 1:

    тоже идет request, reply нет


    если пингую машины 192.168.0.1 и 192.168.0.2 то на обоих серверах request и reply есть..


    получается, что pfsense 1 не пропускает reply пакеты сквозь себя…



  • @lokir:

    То есть я пингую из офиса 2 машину офиса 1:

    Pfsense 2:

    идет request, reply нет

    Pfsense 1:

    тоже идет request, reply нет


    если пингую машины 192.168.0.1 и 192.168.0.2 то на обоих серверах request и reply есть..


    получается, что pfsense 1 не пропускает reply пакеты сквозь себя…

    Если при пинге с 2 мы видим request на LAN1, но не видим reply, значит pfSense1 работает без проблем, а вот, что дальше с этим request  происходит - неведомо. Либо он не доходит до конечной машины, либо машина не отвечает.



  • Какая может быть проблема в том что пакеты не проходят с адресов 192.168.0.3 - 245 ? с 0.1 и 0.2 все проходит нормально..

    Может, необходимо добавить какое-то правило?



  • @lokir:

    Какая может быть проблема в том что пакеты не проходят с адресов 192.168.0.3 - 245 ? с 0.1 и 0.2 все проходит нормально..

    Может, необходимо добавить какое-то правило?

    если подсеть у компов и pfSense'а одна и та же, значит только файерволл на компах. Установи wireshark на любой комп да посмотри, доходят ли пакеты.



  • Все заработало, оказалось что на машине, которую пинговали брандмауэр не пропускает входящие) Партизаны в сети работают))



  • А я что говорил? бедного pfSense'а всякий обидеть может. Не виноват он! -)


Locked