OpenVPN туннель между филиалами



  • Здравствуйте!
    С PFsense я столкнулся недавно, понравилось, поставил 2 сервака, теперь захотел завязать через них филиалы. В течение 2 недель перепробовал всевозможные конфигурации предлагаемые в интернете, ничего не получается!!!! Помогите пожалуйста разобраться!!!

    Конфигурации сервера и клиента с умозаключениями тут: http://www.medrostov.ru/PFSenseOVPN.doc.

    Заранее спасибо всем откликнувшимся!



  • Туннель строиться?
    Покажите Status->OpenVPN на обеих маршрутизаторах.

    Если туннель строиться значит косяк с маршрутами.
    Таблицу маршрутизации в студию.

    Diagnostics->Routers на обеих маршрутизаторах.



  • Тунель поднялся,  с локального компа центрального филиала пингуется удаленный тунельный IP (я чуть чуть перестроил сеть тунеля OpenVPN и изменил порт было 172.10.0.0/24 и порт 1195 а стало 172,10,10,0/24 и порт 1196) но насколько я понимаю это не влияет на саму проблему. Так же с удаленного сервера идет трассировка на компы центрального филиала, пинги не проходят.

    Трассировкка с удаленного сервера:
    1  172.10.10.1 (172.10.10.1)  80.771 ms  91.737 ms  78.193 ms
    2  192.168.1.14 (192.168.1.14)  78.477 ms *  79.501 ms

    Таблица маршрутизации центрального офиса:

    default 83.221.214.193 UGS 0 93588 1492 pppoe1
    46.61.ххх.182 link#9 UHS 0 0 16384 lo0
    80.254.108.194 83.221.214.193 UGHS 0 177 1492 pppoe1
    80.254.108.202 83.221.214.193 UGHS 0 1574 1492 pppoe1
    83.221.214.193 link#9 UHS 0 3281 1492 pppoe1
    127.0.0.1 link#5 UH 0 1390588 16384 lo0
    172.10.10.0/24 172.10.10.2 UGS 0 2345 1500 ovpns1
    172.10.10.1 link#10 UHS 0 0 16384 lo0
    172.10.10.2 link#10 UH 0 0 1500 ovpns1
    192.168.1.0/24 link#3 U 0 1777593 1500 re0
    192.168.1.1 link#3 UHS 0 217545 16384 lo0
    192.168.10.0/24 172.10.10.2 UGS 0 1320 1500 ovpns1

    Таблица маршрутизации филиала:

    default 192.168.2.1 UGS 0 961223 1500 rl0
    127.0.0.1 link#4 UH 0 1349660 16384 lo0
    172.10.10.1/32 172.10.10.5 UGS 0 0 1500 ovpnc1
    172.10.10.5 link#8 UH 0 0 1500 ovpnc1
    172.10.10.6 link#8 UHS 0 0 16384 lo0
    192.168.1.0/24 172.10.10.5 UGS 0 2671 1500 ovpnc1
    192.168.2.0/24 link#2 U 0 5608 1500 rl0
    192.168.2.2 link#2 UHS 0 0 16384 lo0
    192.168.10.0/24 link#1 U 0 820119 1500 vr0
    192.168.10.1 link#1 UHS 0 62604 16384 lo0



  • Бегло посмотрел … вроде все нормально.

    У меня работает схема сделанная  по этому монуалу:
    http://doc.pfsense.org/index.php/OpenVPN_Site-to-Site_(Shared_Key,_2.0)

    Попробуйте реализовать ее. Как по мне она проще.
    Для ее работоспособности достаточно в Advanced Options прописать 1 маршрут.



  • Я конечно попытаюсь, но вот дело в том, что Peer to Peer не совсем устраивает в недалеком будущем может присоединиться еще один филиал!!! Поэтому сервер ставлю в Remote Access



  • Очень зря)
    У меня 2 филиала и все работает.
    Ограничений нет. Как я понимаю хоть 100500 филиалов)



  • Привет всем еще раз. Перенастроил всё в точности как написано тут http://doc.pfsense.org/index.php/OpenVPN_Site-to-Site_(Shared_Key,_2.0) С серверов могу пинговать любые удаленные машины в удаленной сети. Так-же с локальной машины в сети могу пинговать внутренний локальный IP (LAN-интерфейс) сервера в удаленной сети. Но вот на удаленную машину с локальной машины ничего не идет. Трассировка затыкается на удаленном IP адресе VPN тунеля. Маршруты на сервере и на клиенте прописал, iroute в настройках клиента на сервере тоже прописал на 10-ю подсеть.

    Подскажите в чем может быть дело?? в каком хоть направлении рыть? А то все говорят что у всех всё везде прекрасно работает, а помочь разобраться никто не может! :(

    Таблица маршрутов офиса:

    default 83.221.214.196 UGS 0 787680 1492 pppoe1
    10.0.0.1 link#10 UHS 0 0 16384 lo0
    10.0.0.2 link#10 UH 0 0 1500 ovpns1
    31.23.ххх.100 link#9 UHS 0 0 16384 lo0
    80.254.108.198 83.221.214.196 UGHS 0 77 1492 pppoe1
    80.254.108.206 83.221.214.196 UGHS 0 7935 1492 pppoe1
    83.221.214.196 link#9 UHS 0 39130 1492 pppoe1
    127.0.0.1 link#5 UH 0 5027030 16384 lo0
    192.168.1.0/24 link#3 U 0 6682294 1500 re0
    192.168.1.1 link#3 UHS 0 335841 16384 lo0
    192.168.10.0/24 10.0.0.2 UGS 0 64 1500 ovpns1

    Таблица маршрутов филиала: (192.168.2.2=>это WAN интерфейс)

    default 192.168.2.1 UGS 0 2143646 1500 rl0
    10.0.0.1 link#8 UH 0 0 1500 ovpnc1
    10.0.0.2 link#8 UHS 0 0 16384 lo0
    127.0.0.1 link#4 UH 0 2847281 16384 lo0
    192.168.1.0/24 10.0.0.1 UGS 0 33 1500 ovpnc1
    192.168.2.0/24 link#2 U 0 14529 1500 rl0
    192.168.2.2 link#2 UHS 0 0 16384 lo0
    192.168.10.0/32 10.0.0.1 UGS 0 0 1500 ovpnc1 =>
    192.168.10.0/24 link#1 U 0 2504555 1500 vr0
    192.168.10.1 link#1 UHS 0 191808 16384 lo0



  • Проблема не в OpenVPN оказывается. Сегодня поставил Ipsec - результат можно сказать тот-же!!!! :(

    С сервера удаленного филиала могу пинговать любую машину в офисе! А с локальной машины офиса и с сервера офиса пингуется только локальный адрес сервера филиала и всё!!!!

    Правила в фаерволе прописал, NAT на обоих сторонах одинаково настроент.. никакие манипуляции не помогают!  Может кто-нибудь сталкивался с похожей ситуацией?



  • Была похожая ситуёвина . У меня было "Сеть 1" 192.168.1.х и "Сеть 2" 192.168.2.х  соединенные по IPsec . Из "Сети 2" Не пинговались компы "Сети 1" (ни с сервера "Сети 2" , ни с компов) . Проблема была в том , что машины в " Сети 1" по умолчанию отвечают на пинг пришедший только из той же подсети (192.168.1.х) Вылечилось настройкой файрвола/брандмауэра/антивирусника на компах в "Сети 1" (благо их там не много) .
    P.S. Прошу прощения если криво выражаюсь =)



  • Файерволы на стороне которая не пингуется не стоят, точнее на тех машинах от которых пытаюсь получить ответ! не идет так-же и трассировка, не отвечают сервисы которые подняты на Win сервере в удаленной сети ( например RDP).

    У меня такое ощущение, что когда я игрался и изучал сервак, где-то неправильно запомнились какие-то правила NAT но в интерфейс они не выводятся почему-то! Сами правила NAT не однократно сбрасывал (ставил в Авто, удалял то что выводилось в вебморде и опять устанавливал в Manual)!

    Может еще где посмотреть ?

    Может проблема в том, что офисный pfsense имеет PPPoE интерфейс подключения к провайдеру и получает белый динамический IP а филиальная машина находится за ADSL модемом и получает серый IP от ADSL маршрутизатора. Хотя лично я тут проблем не вижу! :(

    В Paket Capture смотрел - пакеты из сети офиса доходят до филиального сервака нормально. куда дальше смотреть даже понять не могу. япересмотрел уже все настройки на обоих концах!



  • Файрвол не установлен ? А как же штатный брандмауэр который изначально включен в Винду ?
    Насколько я понимаю NAT тут вообще не причем , т.к. через него в данном случае трафик не идет (по крайней мере при использовании IPsec) .
    В данном случае я бы поставил какую нибудь умную железку (которая точно отвечает на пинг) в ту сеть которая не пингуется чтоб исключить вариант с настройками Винды .



  • На другой стороне стоит сервер, коорый пингуется в сети филиала 100%. Проверено неоднократно! Да и все остальные машины тоже.

    Просто меня настораживает то, что ситуация одинакова что с OpenVPN, что с Ipsec/ Именно поэтому я решил оставить в покое настройки самих туннелей и попытаься рыть в другую сторону, но вот в refre. - не могук понять! Дело в том, что пинги доходят до локального интерфейса филиального PF а вот в саму локальную сеть филиала не попадают! :(



  • Попробуйте трейсроутом удаленные компы проверить.



  • При трассеровке  удаленного сервра: с офисного PF заворачивает в сеть провайдера

    При трассировке удаленного сервера с локального компа офиса 1-й узел это офисный PF а 2-й, это  удаленный LAN PF сервера филала, т.е. всё нормально!  ???

    Т.Е  трассировка до узла 192.168.10.1(LAN PF филиала) с PF офиса:
    Traceroute output:
    193.214.221.83.static.donpac.ru (83.221.214.193)  28.563 ms  28.990 ms  28.767 ms
    238.214.221.83.static.donpac.ru (83.221.214.238)  27.676 ms  28.407 ms  28.559 ms

    трассировка до узла 192.168.10.1 с локального компа офиса:
      1    <1 мс    <1 мс    <1 мс  pfsense [192.168.1.1]
      2    79 ms    79 ms    79 ms  apfsense [192.168.10.1]

    Трассировка завершена.

    Трассировка к удаленному компу с локального компа
    Трассировка маршрута к 192.168.10.254 с максимальным числом прыжков 30

    1    <1 мс    <1 мс    <1 мс  pfsense [192.168.1.1]
      2    *        *        *    Превышен интервал ожидания для запроса.



  • А настройки Tunnel Network и Remote network и Advanced Options сервера и клиента можно?



  • Не удалось сюда прекрепить, поэтому выкладываю на сайт:
    Http://www.medrostov.ru/temp/IpSec.doc



  • Извиняюсь я спрашивал о настройках openVPN. А правило на Wan apfsense есть? И посмотрите маски.



  • OpenVpn я снес поднял IpSec, сейчас опять настрою OpenVPN.



  • Выложил настройки серваеров филиала и офиса. Там-же написал комментарии.
    И, вот теперь подробнее, какое правило должно быть на Wan apfsens ( это филиал) ???
    www.medrostov.ru/temp/OpenVPN.doc
    Правила в NAT у меня идентичные (только поправка на сети) на обоих концах.
    ROSTELEKOM  192.168.1.0/24 *  *  500 * * YES Auto created rule for ISAKMP - LOCAL to ROSTELEKOM 
    ROSTELEKOM  192.168.1.0/24 *  * * * * NO Auto created rule for LOCAL to ROSTELEKOM 
    ROSTELEKOM  127.0.0.0/8 *  * * * 1024:65535 NO Auto created rule for localhost to ROSTELEKOM

    Если имелось в виду открыть в файерволе порт для подключения удаленного сервера (в моем случае 1196) то конечно открыл - иначе туннель не поднимется :)





  • Попробуйте в Advanced configuration сервера прописать route 192.168.10.0 255.255.255.0; push "route 192.168.1.0 255.255.255.0"



  • Настраивал и согласно этой инструкции и согласно поста и не раз (за 3 недели то).

    Перенастроил согласно инструкции, вывалил маршрут к удаленной сетке  в Advansed установил галку Inter-client communication

    Получил следующую конфигурацию в /var/etc/openvpn/server1.conf в офисе:

    dev ovpns1
    dev-type tun
    dev-node /dev/tun1
    writepid /var/run/openvpn_server1.pid
    #user nobody
    #group nobody
    script-security 3
    daemon
    keepalive 10 60
    ping-timer-rem
    persist-tun
    persist-key
    proto udp
    cipher AES-128-CBC
    up /usr/local/sbin/ovpn-linkup
    down /usr/local/sbin/ovpn-linkdown
    local 109.165.56.208
    tls-server
    server 10.0.0.0 255.255.255.0
    client-config-dir /var/etc/openvpn-csc
    lport 1196
    management /var/etc/openvpn/server1.sock unix
    push "route 192.168.1.0 255.255.255.0"
    client-to-client
    ca /var/etc/openvpn/server1.ca
    cert /var/etc/openvpn/server1.cert
    key /var/etc/openvpn/server1.key
    dh /etc/dh-parameters.1024
    route 192.168.10.0 255.255.255.0

    и
    конфигурацию в /var/etc/openvpn/client1.conf  в филиале:
    dev ovpnc1
    dev-type tun
    dev-node /dev/tun1
    writepid /var/run/openvpn_client1.pid
    #user nobody
    #group nobody
    script-security 3
    daemon
    keepalive 10 60
    ping-timer-rem
    persist-tun
    persist-key
    proto udp
    cipher AES-128-CBC
    up /usr/local/sbin/ovpn-linkup
    down /usr/local/sbin/ovpn-linkdown
    local 192.168.2.2
    tls-client
    client
    lport 0
    management /var/etc/openvpn/client1.sock unix
    remote *****.mine.nu 1196
    ifconfig 10.0.0.2 10.0.0.1
    route 192.168.1.0 255.255.255.0
    ca /var/etc/openvpn/client1.ca
    cert /var/etc/openvpn/client1.cert
    key /var/etc/openvpn/client1.key

    В итоге:

    • Из филиала удаленные машины как не откликались так и не откликаются
    • с PF офиса нет ответа ни от удаленного PF ни от удаленной машины
    • с PF филиала есть ответ от машин офиса.

    Маршруты прилагаю!
    1-й скрин маршрутф офиса, второй маршруты филиала.






  • @gr0mW:

    Попробуйте в Advanced configuration сервера прописать route 192.168.10.0 255.255.255.0; push "route 192.168.1.0 255.255.255.0"

    В Advansed в данном случае это прописывать нет необходимости, как видно из конф файлов они добавляются при заполнении соответсвующих полей. Таким образом мы либо заполняем поля в вебморде, либо пишем маршруты ручками в Advansed!!!!!



  • У меня при практически ваших настройках все прекрасно работает.  А local на клиенте 192.168.2.2 это что? У меня в  /var/etc/openvpn/client1.conf  local –-- внешний IP (остальное совпадает, кроме шифрования).



  • На клиенте local 192.168.2.2 - это статика от ADSL маршрутизатора.. я об этом выше упоминал. т.е. в филиале у меня сначала стоит DSL маршрутизатор (Зухель 660 кажись)

    Интернет–----(dsl link PPPoE)Зухель6600(LAN Link 192.168.2.1)---(192.168.2.2 WAN)PFSENSE(192.168.10.1 LanLink) -----Локальная сеть филиала/

    Вот такая интересная вещь получается: Запустил Packet Capture на WAN интерфейсе на стороне филиала, у себя пингую машину в удаленной сети, получил следующее:

    08:04:16.865875 IP 109.165.56.208 > 83.221.214.195: ICMP echo request, id 10434, seq 16919, length 44
    08:04:16.896754 IP 83.221.214.195 > 109.165.56.208: ICMP echo reply, id 10434, seq 16919, length 44
    08:04:17.870320 IP 109.165.56.208 > 83.221.214.195: ICMP echo request, id 10434, seq 17175, length 44
    08:04:17.899273 IP 83.221.214.195 > 109.165.56.208: ICMP echo reply, id 10434, seq 17175, length 44
    08:04:18.875059 IP 109.165.56.208 > 83.221.214.195: ICMP echo request, id 10434, seq 17431, length 44
    08:04:18.905571 IP 83.221.214.195 > 109.165.56.208: ICMP echo reply, id 10434, seq 17431, length 44

    где 109.165.56.208 - IP интернет соединения в офисе, а 83.221.214.195 шлюз для интернет подключения филиала!!!!!!!!

    т.Е. получается что при пинге из офиса у меня пакеты проходят по тунелю до удаленного сервера и там заворачиваются на WAN интерфейс, а должны на LAN!!!!!!!!!!!!!!!!!!!



  • А вариант Зухель в бридж возможен или нет?



  • Попытаться можно - но надо ехать в другой город.. там нет местных админов! :(  С другой стороны должно работать и так! Но почему-то не работает! :(

    Сейчас буду думать почему пакеты заворачиваются не на LAN интерфейс, а на WAN! Скорее вс его тут затык, как я и предполагал!. Можешь скинуть скрин правил NAT которые у тебя стоят на одном конце и на другом!  Пока по скринам, если всё одинаково будет, то буду смотреть конф файл! :(



  • Правило Firewall: NAT: Outbound для openVPN в филиале случайно не стоит? Попробуйте его удалить. У меня не натится openVPN. Только правила на интерфейсах.



  • Не помогает! По идее на филиальном PF вообще не нужен NAT ибо этим занимается ADSL модем.

    Но я тут игрался с NAT правилами и у меня в какой-то момент всё заработало.. что сделал не знаю… сейчас уже 2 часа пытаюсь повторить эту ситуацию и не получается :))))))



  • В общем получилось после добавления опеределенных правил NAT Outbond. Как только разберусь почему сразу выложу сюда!

    Единственно что сейчас при попытке выйти по RDP на удаленный сервак - канал рвется… буду разбираться почему!



  • Вам выше писали - поставить Адсл модемы (2шт) в режим моста.

    Можно попробовать потрфорвардинг с АДСЛ модемов на PfSense



  • В общем как сделать туннель между серверами тут и без меня очень много написано, но вот если один из серверов стоит за NAT (в моем случае это ADSL модем) локальной сетки этого сервера не видно. Мне помогло следующее:
    Я добавил в правила NAT Outbound следующее:
    Interface   Source           Source Port      Destination           Destination Port     NAT Address    NAT Port    Static Port
    OpenVPN   any             *            192.168.10.0/24     *                        *         * NO  
    LAN     192.168.1.0/24 *             *                *                        *         * NO

    Удаленные компы пингуются без проблем! Но теперь появилась другая проблема - при хотя-бы попытке выйти в RDP на удаленный сервер - канал OpenVPN падает и в логах ничего не пишется!

    Может кто сталкивался с падением канала при начале обмена трафиком между сетями .. подскажите плз!



  • @dr.gopher:

    Вам выше писали - поставить Адсл модемы (2шт) в режим моста.

    Можно попробовать потрфорвардинг с АДСЛ модемов на PfSense

    У меня нет сейчас возможности управлять ADSL модемом - всё это стоит в другом городе, ехать туда у меня сейчас нет возможности, Найти специалиста который бы в другом городе могбы перепрограммировать ADSL модем и перенастроить сервер - нет возможности! :(

    На самом деле на модеме достаточно IP PF сервера добавить в DMZ если я всё правильно понимаю!



  • великие гуру есть сеть на рисунке она изображена.
    задача с чтобы с локальной сети офиса могли подключится к видео наблюдению. что нужно из маршрутов прописать.
    os на server A Pfsense 2.0
    os на server B Debian 6
    os на server C ubuntu server 11.
    помогите срочно нужно решить проблему
    с Sever B ping 192,168,2,3 проходит
    с локальный тачки 192,168,0,3 видели этот ip




  • ??? что не кто не подскажет?



  • vpn поднят на А или В?



  • 2 раза смотался в другой город пока настривал удаленный сервак: сборисил всё в default, настроил всё по новой. D заводские настройки сбросил обе стороны в итоге ситуация ни капельки не изменилась! Уже ума не приложу где могут быть грабли и что делать?!?! Кататься по 400 км за раз уже надоело. Помогите хоть кто-нибудь пожалуйста! :(



  • Почитай http://www.secure-computing.net/wiki/index.php/OpenVPN/Routing (ROUTES TO ADD OUTSIDE OF OPENVPN) и дальше http://www.secure-computing.net/wiki/index.php/Graph. Может поможет.


Log in to reply