Openvpn сеть-сеть соединение
-
Подобные темы уже были, но ничего в них полезного не нашел, да и отвечать туда нельзя уже.
Есть два шлюза, за каждым по /24 подсети: 162.168.1.222 и 192.168.3.185. На втором стоит pfsense с таким конфигом сервера:dev ovpns1 dev-type tun dev-node /dev/tun1 writepid /var/run/openvpn_server1.pid #user nobody #group nobody script-security 3 daemon keepalive 10 60 ping-timer-rem persist-tun persist-key proto udp cipher AES-128-CBC up /usr/local/sbin/ovpn-linkup down /usr/local/sbin/ovpn-linkdown local 94.153.253.19 tls-server server 10.0.8.0 255.255.255.0 client-config-dir /var/etc/openvpn-csc ifconfig 10.0.8.1 10.0.8.2 lport 1194 management /var/etc/openvpn/server1.sock unix push "route 192.168.3.0 255.255.255.0" route 192.168.1.0 255.255.255.0 ca /var/etc/openvpn/server1.ca cert /var/etc/openvpn/server1.cert key /var/etc/openvpn/server1.key dh /etc/dh-parameters.1024 comp-lzo
И маршруты (только относящиеся к vpn):
10.0.8.0 10.0.8.2 UGS 0 0 ovpns1 10.0.8.1 link#9 UHS 0 0 lo0 10.0.8.2 link#9 UH 0 0 ovpns1 192.168.1.0 10.0.8.2 UGS 0 0 ovpns1 192.168.3.0 link#1 U 0 84153 re0
Конфиг клиента на 192.168.1.222:
client dev tun proto udp remote 94.153.253.19 1194 ping 10 resolv-retry infinite nobind persist-key persist-tun cipher AES-128-CBC ca /etc/openvpn/keys/server.crt cert /etc/openvpn/keys/pfserver.crt key /etc/openvpn/keys/pfserver.key ;ns-cert-type server comp-lzo pull verb 3
И его маршруты:
Destination Gateway Genmask Flags Metric Ref Use Iface 10.0.8.5 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 10.0.8.1 10.0.8.5 255.255.255.255 UGH 0 0 0 tun0 192.168.3.0 10.0.8.5 255.255.255.0 UG 0 0 0 tun0 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
С 192.168.1.222 3-я подсеть пингуется, а с 192.168.3.185 первая - нет. И похоже пакеты даже не доходят до ovpns1 интерфейса.
На файерволе вроде как все разрешено: -
tcpdump
тебе в помощь! на логи фаервола особенно смотреть не нада. -
tcpdump
тебе в помощь!Логично. Только кроме того что
пакеты даже не доходят до ovpns1
больше информации я с него не смог выцепить.
-
Нет, пакет с сервера доходит до ovpns1 интерфейса, но на tun0 клиента не появляется.
-
Необходимо было в client-specific-overrides добавить запись с именем клиента и содержимым iroute 192.168.1.0 255.255.255.0
Маршруты при этом не поменялись и вообще никаких видимых изменений, зато теперь работает. Магия.