OPENVPN сеть-сеть
-
Моя схема.Оба pf версии 2.0.1.
внешняя сеть (ака интернет) 10.10.10.0/24
===WAN 10.10.10.11/24=============================================WAN 10.10.10.12/24===
|| ||
PF1 (OVPN Клиент) ========================10.0.8.0/24======================== PF2 (OVPN Сервер)
|| push "route 192.168.12.0 255.255.255.0";
|| route 192.168.11.0 255.255.255.0;
|| ||
LAN 192.168.11.254/24 LAN 192.168.12.254/24
|| ||
рабочие станции 192.168.11.0/24 рабочие станции 192.168.12.0/24Настройки сервера
Server Mode: p2p ssl Protocol: TCP Device Mode: tun Interface: WAN Local port: 1194 Cryptographic Settings: опущу там всё тривиально Tunnel Network: 10.0.8.0/24 Redirect Gateway: нет Local Network: пусто Remote Network: пусто Concurrent connections: пусто Compression: нет Type-of-Service: нет Duplicate Connections: нет Advanced: push "route 192.168.12.0 255.255.255.0";route 192.168.11.0 255.255.255.0;
Настройки клиента
Server Mode: p2p ssl Protocol: TCP Device Mode: tun Interface: WAN Local port: Server host or address: 10.10.10.12 Server port: 1194 дальше всё пусто Cryptographic Settings: опущу Tunnel Network: 10.0.8.0/24 Remote Network: пусто Limit outgoing bandwidth: пусто Compression: нет Type-of-Service: нет Advanced: пусто
Фильтрацию пакетов отключил на обоих, так что файервол сразу отметаем.
Проблема из правой сети включаю сам шлюз левая сеть недоступна, при том что из левой в правую всё ОК.
Т.е. если кратко из клиентской сети всё пингуется, с серверной - нет.
Пингую из консоли PF1 (клиента ovpn) и захват пакетов показывает10:34:27.537946 IP 10.0.8.6 > 192.168.12.254: ICMP echo request, id 55208, seq 6, length 64 10:34:27.538463 IP 192.168.12.254 > 10.0.8.6: ICMP echo reply, id 55208, seq 6, length 64 10:34:28.547574 IP 10.0.8.6 > 192.168.12.254: ICMP echo request, id 55208, seq 7, length 64 10:34:28.548124 IP 192.168.12.254 > 10.0.8.6: ICMP echo reply, id 55208, seq 7, length 64
Если пинговать с PF2 (ovpn сервера), то захват такой
10:34:16.478074 IP 10.0.8.1 > 192.168.11.254: ICMP echo request, id 13221, seq 7, length 64 10:34:17.487816 IP 10.0.8.1 > 192.168.11.254: ICMP echo request, id 13221, seq 8, length 64 10:34:18.497735 IP 10.0.8.1 > 192.168.11.254: ICMP echo request, id 13221, seq 9, length 64 10:34:19.507522 IP 10.0.8.1 > 192.168.11.254: ICMP echo request, id 13221, seq 10, length 64
В общем теряюсь в догадках, какие идеи?
-
netstat -rn с обеих шлюзов покажите.
-
PF1
[2.0.1-RELEASE][admin@pf11.localdomain]/root(1): netstat -rn Routing tables Internet: Destination Gateway Flags Refs Use Netif Expire 10.0.8.1/32 10.0.8.5 UGS 0 0 ovpnc1 10.0.8.5 link#8 UH 0 0 ovpnc1 10.0.8.6 link#8 UHS 0 0 lo0 10.10.10.0/24 link#2 U 0 10729 em1 10.10.10.11 link#2 UHS 0 0 lo0 127.0.0.1 link#4 UH 0 109 lo0 192.168.11.0/24 link#1 U 0 0 em0 192.168.11.254 link#1 UHS 0 0 lo0 192.168.12.0/24 10.0.8.5 UGS 0 0 ovpnc1 Internet6: Destination Gateway Flags Netif Expire ::1 ::1 UH lo0 fe80::%em0/64 link#1 U em0 fe80::20c:29ff:fed5:4333%em0 link#1 UHS lo0 fe80::%em1/64 link#2 U em1 fe80::20c:29ff:fed5:433d%em1 link#2 UHS lo0 fe80::%lo0/64 link#4 U lo0 fe80::1%lo0 link#4 UHS lo0 fe80::20c:29ff:fed5:4333%ovpnc1 link#8 UHS lo0 ff01:1::/32 fe80::20c:29ff:fed5:4333%em0 U em0 ff01:2::/32 fe80::20c:29ff:fed5:433d%em1 U em1 ff01:4::/32 ::1 U lo0 ff01:8::/32 fe80::20c:29ff:fed5:4333%ovpnc1 U ovpnc1 ff02::%em0/32 fe80::20c:29ff:fed5:4333%em0 U em0 ff02::%em1/32 fe80::20c:29ff:fed5:433d%em1 U em1 ff02::%lo0/32 ::1 U lo0 ff02::%ovpnc1/32 fe80::20c:29ff:fed5:4333%ovpnc1 U ovpnc1
PF2
[2.0.1-RELEASE][admin@pf12.localdomain]/root(37): netstat -rn Routing tables Internet: Destination Gateway Flags Refs Use Netif Expire 10.0.8.0/24 10.0.8.2 UGS 0 0 ovpns1 10.0.8.1 link#9 UHS 0 0 lo0 10.0.8.2 link#9 UH 0 0 ovpns1 10.10.10.0/24 link#2 U 0 13678 em1 10.10.10.12 link#2 UHS 0 0 lo0 127.0.0.1 link#5 UH 0 127 lo0 192.168.11.0/24 10.0.8.2 UGS 0 107 ovpns1 192.168.12.0/24 link#1 U 0 2 em0 192.168.12.254 link#1 UHS 0 171 lo0 192.168.20.0/24 link#3 U 0 0 em2 192.168.20.254 link#3 UHS 0 0 lo0 Internet6: Destination Gateway Flags Netif Expire ::1 ::1 UH lo0 fe80::%em0/64 link#1 U em0 fe80::20c:29ff:fedf:e902%em0 link#1 UHS lo0 fe80::%em1/64 link#2 U em1 fe80::20c:29ff:fedf:e90c%em1 link#2 UHS lo0 fe80::%em2/64 link#3 U em2 fe80::20c:29ff:fedf:e916%em2 link#3 UHS lo0 fe80::%lo0/64 link#5 U lo0 fe80::1%lo0 link#5 UHS lo0 fe80::20c:29ff:fedf:e902%ovpns1 link#9 UHS lo0 ff01:1::/32 fe80::20c:29ff:fedf:e902%em0 U em0 ff01:2::/32 fe80::20c:29ff:fedf:e90c%em1 U em1 ff01:3::/32 fe80::20c:29ff:fedf:e916%em2 U em2 ff01:5::/32 ::1 U lo0 ff01:9::/32 fe80::20c:29ff:fedf:e902%ovpns1 U ovpns1 ff02::%em0/32 fe80::20c:29ff:fedf:e902%em0 U em0 ff02::%em1/32 fe80::20c:29ff:fedf:e90c%em1 U em1 ff02::%em2/32 fe80::20c:29ff:fedf:e916%em2 U em2 ff02::%lo0/32 ::1 U lo0 ff02::%ovpns1/32 fe80::20c:29ff:fedf:e902%ovpns1 U ovpns1
-
Похоже что решение это Client Specific Overrides на стороне сервера.
В моём случае требовалась опция iroute 192.168.11.0 255.255.255.0;