и снова Open VPN
-
Соединяю две офисных сети туннелем, используя OpenVPN.
Офис 1
Статический адрес, модем подключен бриждом к pfsense
Сеть 192.168.0.0/24
PfSense 192.168.0.2конфиг - сервер:
Protocol: UDP
Dynamic IP: checked
Local port: 1194
Address pool: 192.168.10.0/24
Use static ip: no
Remote network: 192.168.1.0/24
Cryptography: bf-cbc(128)
Autentification: Shared keyВ файерволле прописано разрешать соединения на порт 1194
Офис 2
Динамический адрес
Сеть 192.168.1.0/24
Pfsense 192.168.1.1конфиг - клиент:
Protocol: UDP
Server address: 88...*
Server port: 1194
Interface ip: 192.168.10.0/24
Remote network: 192.168.0.0/24
Cryptography: bf-cbc(128)
Autentification: Shared keyПри активации туннель создается, но возникает следующая проблема: из сети Офис 1 сеть Офис 2 пингуется без проблем, а вот из Офиса 2 сеть Офиса 1 пингуется только до адреса pfsense (т.е. пинг проходит на 192.168.0.1 и 192.168.0.2)..
Кто-нибудь знает в чем проблема?
-
Если туннель нормально создаётся, то скорее всего дело в правилах файервола. Проблема причём может быть с любой из сторон. Или с обеих :) Есть такой способ - сперва дать разрешений от души, а потом лишнее почикать… :)
На всякий случай вдогонку: "дать от души, а потом почикать" - это я про технологию ловли чёрной кошки в тёмной комнате, а не про подход к структурированию правил... :)
-
Раз pfSense пингуется, то с правилами должно быть всё в порядке.
из Офиса 2 сеть Офиса 1 пингуется только до адреса pfsense (т.е. пинг проходит на 192.168.0.1 и 192.168.0.2)..
Это с компьютеров офиса 2 или с самого pfSense'а, что в офисе 2?
-
С Офиса 1 пингуется сеть Офиса 2 и pfsense Офиса 2..
С Офиса 2 пингуется первый и второй ip-адреса как из сети так и с PF…В Файерволле стоит пропускать все подключения...
Пробовал настроить IPSec VPN - та же картина... Из Офиса 2 пингуются только 1-й и второй адреса..
Я так понимаю что проблему надо искать на концах туннеля, только ума не приложу где..
Есть идеи?
-
на вскидку, в параметрах OpenVPN есть галки по доступу к сети "клиента".
ну и правильность NAT как обычно -
На pfSense офиса 1 запустить```
tcpdump -ni <lan interface=""> icmp or arp</lan> -
Когда мы пингуем из офиса 2 любой компьютер офиса 1, то на Pfsense Офиса 1 tcpdump не показывает ничего..
При пинге из Офиса 1 Офиса 2 пакеты проходят нормально, Pfsense Офиса 2 пакеты отображает..
-
можно глянуть на правила LAN pfSense'а офиса 2 и на правила OpenVPN pfSense'а офиса 1?
-
Короче, поставил на Pfsense офиса 1 такие правила:
LAN:
WAN
при этом пакеты проходят request, их видят оба PF
а вот reply через первую машину не возвращается -
при этом пакеты проходят request, их видят оба PF
а вот reply через первую машину не возвращаетсяО! о чём это говорит? правильно, это может говорить о:
- файрволл на машине офиса 1.
- маршрутизация на машине офиса 1.
Т.к. машина из офиса 1 может пинговать машину из офиса 2, случай 2) исключаем.
-
Ну я думаю, что проблема как раз в Pfsense Офиса 1, т.е. он не выпускает пакеты.. Как это можно решить?
-
Когда мы пингуем из офиса 2 любой компьютер офиса 1, то на Pfsense Офиса 1 tcpdump не показывает ничего..
…
Короче, поставил на Pfsense офиса 1 такие правила:LAN:
WAN
при этом пакеты проходят request, их видят оба PF
а вот reply через первую машину не возвращаетсяя не понял, пакеты на lan pfSense офиса 1 появились или нет? какие?
-
То есть я пингую из офиса 2 машину офиса 1:
Pfsense 2:
идет request, reply нет
Pfsense 1:
тоже идет request, reply нет
если пингую машины 192.168.0.1 и 192.168.0.2 то на обоих серверах request и reply есть..
получается, что pfsense 1 не пропускает reply пакеты сквозь себя…
-
То есть я пингую из офиса 2 машину офиса 1:
Pfsense 2:
идет request, reply нет
Pfsense 1:
тоже идет request, reply нет
если пингую машины 192.168.0.1 и 192.168.0.2 то на обоих серверах request и reply есть..
получается, что pfsense 1 не пропускает reply пакеты сквозь себя…
Если при пинге с 2 мы видим request на LAN1, но не видим reply, значит pfSense1 работает без проблем, а вот, что дальше с этим request происходит - неведомо. Либо он не доходит до конечной машины, либо машина не отвечает.
-
Какая может быть проблема в том что пакеты не проходят с адресов 192.168.0.3 - 245 ? с 0.1 и 0.2 все проходит нормально..
Может, необходимо добавить какое-то правило?
-
Какая может быть проблема в том что пакеты не проходят с адресов 192.168.0.3 - 245 ? с 0.1 и 0.2 все проходит нормально..
Может, необходимо добавить какое-то правило?
если подсеть у компов и pfSense'а одна и та же, значит только файерволл на компах. Установи wireshark на любой комп да посмотри, доходят ли пакеты.
-
Все заработало, оказалось что на машине, которую пинговали брандмауэр не пропускает входящие) Партизаны в сети работают))
-
А я что говорил? бедного pfSense'а всякий обидеть может. Не виноват он! -)