Openvpn сеть-сеть соединение



  • Подобные темы уже были, но ничего в них полезного не нашел, да и отвечать туда нельзя уже.
    Есть два шлюза, за каждым по /24 подсети: 162.168.1.222 и 192.168.3.185. На втором стоит pfsense с таким конфигом сервера:

    dev ovpns1
    dev-type tun
    dev-node /dev/tun1
    writepid /var/run/openvpn_server1.pid
    #user nobody
    #group nobody
    script-security 3
    daemon
    keepalive 10 60
    ping-timer-rem
    persist-tun
    persist-key
    proto udp
    cipher AES-128-CBC
    up /usr/local/sbin/ovpn-linkup
    down /usr/local/sbin/ovpn-linkdown
    local 94.153.253.19
    tls-server
    server 10.0.8.0 255.255.255.0
    client-config-dir /var/etc/openvpn-csc
    ifconfig 10.0.8.1 10.0.8.2
    lport 1194
    management /var/etc/openvpn/server1.sock unix
    push "route 192.168.3.0 255.255.255.0"
    route 192.168.1.0 255.255.255.0
    ca /var/etc/openvpn/server1.ca
    cert /var/etc/openvpn/server1.cert
    key /var/etc/openvpn/server1.key
    dh /etc/dh-parameters.1024
    comp-lzo
    
    

    И маршруты (только относящиеся к vpn):

    
    10.0.8.0           10.0.8.2           UGS         0        0 ovpns1
    10.0.8.1           link#9             UHS         0        0    lo0
    10.0.8.2           link#9             UH          0        0 ovpns1
    192.168.1.0        10.0.8.2           UGS         0        0 ovpns1
    192.168.3.0        link#1             U           0    84153    re0
    
    

    Конфиг клиента на 192.168.1.222:

    client
    dev tun
    proto udp
    remote 94.153.253.19 1194
    ping 10
    resolv-retry infinite
    nobind
    persist-key
    persist-tun
    cipher AES-128-CBC
    ca /etc/openvpn/keys/server.crt
    cert /etc/openvpn/keys/pfserver.crt
    key /etc/openvpn/keys/pfserver.key
    ;ns-cert-type server
    comp-lzo
    pull
    verb 3
    
    

    И его маршруты:

    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    10.0.8.5        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
    10.0.8.1        10.0.8.5        255.255.255.255 UGH   0      0        0 tun0
    192.168.3.0     10.0.8.5        255.255.255.0   UG    0      0        0 tun0
    192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
    
    

    С 192.168.1.222 3-я подсеть пингуется, а с 192.168.3.185 первая - нет. И похоже пакеты даже не доходят до ovpns1 интерфейса.
    На файерволе вроде как все разрешено:



  • tcpdump
    тебе в помощь! на логи фаервола особенно смотреть не нада.



  • tcpdump
    тебе в помощь!

    Логично. Только кроме того что

    пакеты даже не доходят до ovpns1

    больше информации я с него не смог выцепить.



  • Нет, пакет с сервера доходит до ovpns1 интерфейса, но на tun0 клиента не появляется.



  • Необходимо было в client-specific-overrides добавить запись с именем клиента и содержимым iroute 192.168.1.0 255.255.255.0
    Маршруты при этом не поменялись и вообще никаких видимых изменений, зато теперь работает. Магия.


Locked