OPENVPN сеть-сеть



  • Моя схема.Оба pf версии 2.0.1.
                                                         внешняя сеть (ака интернет) 10.10.10.0/24
                 ===WAN 10.10.10.11/24=============================================WAN 10.10.10.12/24===
                 ||                                                                                                                                              ||
               PF1 (OVPN Клиент) ========================10.0.8.0/24======================== PF2 (OVPN Сервер)
                 ||                                                                                                                                             push "route 192.168.12.0 255.255.255.0";
                 ||                                                                                                                                             route 192.168.11.0 255.255.255.0;
                 ||                                                                                                                                              ||
             LAN 192.168.11.254/24                                                                                                           LAN 192.168.12.254/24
                 ||                                                                                                                                              ||
         рабочие станции 192.168.11.0/24                                                                                               рабочие станции 192.168.12.0/24

    Настройки сервера

    Server Mode: p2p ssl
    Protocol: TCP
    Device Mode: tun
    Interface: WAN
    Local port: 1194
    Cryptographic Settings: опущу там всё тривиально
    Tunnel Network: 10.0.8.0/24
    Redirect Gateway: нет
    Local Network: пусто
    Remote Network: пусто
    Concurrent connections: пусто
    Compression: нет
    Type-of-Service: нет
    Duplicate Connections: нет
    Advanced: push "route 192.168.12.0 255.255.255.0";route 192.168.11.0 255.255.255.0;
    

    Настройки клиента

    Server Mode: p2p ssl
    Protocol: TCP
    Device Mode: tun
    Interface: WAN
    Local port: 
    Server host or address: 10.10.10.12
    Server port: 1194
    дальше всё пусто
    Cryptographic Settings: опущу
    Tunnel Network: 10.0.8.0/24
    Remote Network: пусто 
    Limit outgoing bandwidth: пусто
    Compression: нет
    Type-of-Service: нет
    Advanced: пусто
    

    Фильтрацию пакетов отключил на обоих, так что файервол сразу отметаем.
    Проблема из правой сети включаю сам шлюз левая сеть недоступна, при том что из левой в правую всё ОК.
    Т.е. если кратко из клиентской сети всё пингуется, с серверной - нет.
    Пингую из консоли PF1 (клиента ovpn) и захват пакетов показывает

    10:34:27.537946 IP 10.0.8.6 > 192.168.12.254: ICMP echo request, id 55208, seq 6, length 64
    10:34:27.538463 IP 192.168.12.254 > 10.0.8.6: ICMP echo reply, id 55208, seq 6, length 64
    10:34:28.547574 IP 10.0.8.6 > 192.168.12.254: ICMP echo request, id 55208, seq 7, length 64
    10:34:28.548124 IP 192.168.12.254 > 10.0.8.6: ICMP echo reply, id 55208, seq 7, length 64
    

    Если пинговать с PF2 (ovpn сервера), то захват такой

    10:34:16.478074 IP 10.0.8.1 > 192.168.11.254: ICMP echo request, id 13221, seq 7, length 64
    10:34:17.487816 IP 10.0.8.1 > 192.168.11.254: ICMP echo request, id 13221, seq 8, length 64
    10:34:18.497735 IP 10.0.8.1 > 192.168.11.254: ICMP echo request, id 13221, seq 9, length 64
    10:34:19.507522 IP 10.0.8.1 > 192.168.11.254: ICMP echo request, id 13221, seq 10, length 64
    

    В общем теряюсь в догадках, какие идеи?



  • netstat -rn с обеих шлюзов покажите.



  • PF1

    [2.0.1-RELEASE][admin@pf11.localdomain]/root(1): netstat -rn
    Routing tables
    
    Internet:
    Destination        Gateway            Flags    Refs      Use  Netif Expire
    10.0.8.1/32        10.0.8.5           UGS         0        0 ovpnc1
    10.0.8.5           link#8             UH          0        0 ovpnc1
    10.0.8.6           link#8             UHS         0        0    lo0
    10.10.10.0/24      link#2             U           0    10729    em1
    10.10.10.11        link#2             UHS         0        0    lo0
    127.0.0.1          link#4             UH          0      109    lo0
    192.168.11.0/24    link#1             U           0        0    em0
    192.168.11.254     link#1             UHS         0        0    lo0
    192.168.12.0/24    10.0.8.5           UGS         0        0 ovpnc1
    
    Internet6:
    Destination                       Gateway                       Flags      Netif Expire
    ::1                               ::1                           UH          lo0
    fe80::%em0/64                     link#1                        U           em0
    fe80::20c:29ff:fed5:4333%em0      link#1                        UHS         lo0
    fe80::%em1/64                     link#2                        U           em1
    fe80::20c:29ff:fed5:433d%em1      link#2                        UHS         lo0
    fe80::%lo0/64                     link#4                        U           lo0
    fe80::1%lo0                       link#4                        UHS         lo0
    fe80::20c:29ff:fed5:4333%ovpnc1   link#8                        UHS         lo0
    ff01:1::/32                       fe80::20c:29ff:fed5:4333%em0  U           em0
    ff01:2::/32                       fe80::20c:29ff:fed5:433d%em1  U           em1
    ff01:4::/32                       ::1                           U           lo0
    ff01:8::/32                       fe80::20c:29ff:fed5:4333%ovpnc1 U        ovpnc1
    ff02::%em0/32                     fe80::20c:29ff:fed5:4333%em0  U           em0
    ff02::%em1/32                     fe80::20c:29ff:fed5:433d%em1  U           em1
    ff02::%lo0/32                     ::1                           U           lo0
    ff02::%ovpnc1/32                  fe80::20c:29ff:fed5:4333%ovpnc1 U        ovpnc1
    

    PF2

    [2.0.1-RELEASE][admin@pf12.localdomain]/root(37): netstat -rn
    Routing tables
    
    Internet:
    Destination        Gateway            Flags    Refs      Use  Netif Expire
    10.0.8.0/24        10.0.8.2           UGS         0        0 ovpns1
    10.0.8.1           link#9             UHS         0        0    lo0
    10.0.8.2           link#9             UH          0        0 ovpns1
    10.10.10.0/24      link#2             U           0    13678    em1
    10.10.10.12        link#2             UHS         0        0    lo0
    127.0.0.1          link#5             UH          0      127    lo0
    192.168.11.0/24    10.0.8.2           UGS         0      107 ovpns1
    192.168.12.0/24    link#1             U           0        2    em0
    192.168.12.254     link#1             UHS         0      171    lo0
    192.168.20.0/24    link#3             U           0        0    em2
    192.168.20.254     link#3             UHS         0        0    lo0
    
    Internet6:
    Destination                       Gateway                       Flags      Netif Expire
    ::1                               ::1                           UH          lo0
    fe80::%em0/64                     link#1                        U           em0
    fe80::20c:29ff:fedf:e902%em0      link#1                        UHS         lo0
    fe80::%em1/64                     link#2                        U           em1
    fe80::20c:29ff:fedf:e90c%em1      link#2                        UHS         lo0
    fe80::%em2/64                     link#3                        U           em2
    fe80::20c:29ff:fedf:e916%em2      link#3                        UHS         lo0
    fe80::%lo0/64                     link#5                        U           lo0
    fe80::1%lo0                       link#5                        UHS         lo0
    fe80::20c:29ff:fedf:e902%ovpns1   link#9                        UHS         lo0
    ff01:1::/32                       fe80::20c:29ff:fedf:e902%em0  U           em0
    ff01:2::/32                       fe80::20c:29ff:fedf:e90c%em1  U           em1
    ff01:3::/32                       fe80::20c:29ff:fedf:e916%em2  U           em2
    ff01:5::/32                       ::1                           U           lo0
    ff01:9::/32                       fe80::20c:29ff:fedf:e902%ovpns1 U        ovpns1
    ff02::%em0/32                     fe80::20c:29ff:fedf:e902%em0  U           em0
    ff02::%em1/32                     fe80::20c:29ff:fedf:e90c%em1  U           em1
    ff02::%em2/32                     fe80::20c:29ff:fedf:e916%em2  U           em2
    ff02::%lo0/32                     ::1                           U           lo0
    ff02::%ovpns1/32                  fe80::20c:29ff:fedf:e902%ovpns1 U        ovpns1
    


  • Похоже что решение это Client Specific Overrides на стороне сервера.
    В моём случае требовалась опция iroute 192.168.11.0 255.255.255.0;


Log in to reply