OpenVPN часть сети не видна за шлюзом?!
-
pfsense 2. визардом создал openvpn сервер, виндовый клиент без проблем подключается к шлюзу с openvpn, пинги к шлюзу, к части компьютеров и сетевых устройств проходят, а к части нет. с самого шлюза все пинги проходят и всех видно. адреса в основном статические. почему так? как побороть? спасибо за помощь!
настройки на сервере:
Tunnel Settings
Tunnel Network 10.0.8.0/24
Local Network 192.168.0.0/24
Concurrent connections 100
Compression Compress tunnel packets using the LZO algorithm.
Inter-client communication Allow communication between clients connected to this server
Client Settings
Dynamic IP Allow connected clients to retain their connections if their IP address changes.
Address Pool Provide a virtual adapter IP address to clients (see Tunnel Network)настройки у клиента:
dev tun
persist-tun
persist-key
proto udp
cipher BF-CBC
tls-client
client
resolv-retry infinite
remote ххх.ххх.ххх.ххх 1194
tls-remote test
auth-user-pass
pkcs12 firewall-udp-1194.p12
tls-auth firewall-udp-1194-tls.key 1
comp-lzo -
у меня такое из-за антивирусов, не допускают подключения из другой сети
-
эту версию исключил: отключал антивирусы - не помогло, плюс в сети есть 3 com и hp коммутаторы, к ним доступа тоже нет, но зато вижу сетевую мфу TOSHIBA e-STUDIO182 ;-) в чем логика понять не могу!
подскажите куда смотреть?! очень нужно решить проблему! -
эту версию исключил: отключал антивирусы - не помогло, плюс в сети есть 3 com и hp коммутаторы, к ним доступа тоже нет, но зато вижу сетевую мфу TOSHIBA e-STUDIO182 ;-) в чем логика понять не могу!
подскажите куда смотреть?! очень нужно решить проблему!В конфиге сервера и клиентов роутинг прописан? Пример тут - http://www.secure-computing.net/wiki/index.php/OpenVPN/Routing
-
конфиг у клиента приводил выше, сеть клиента 192.168.100.0
вывод route print:
IPv4 таблица маршрута
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.100.1 192.168.100.136 25
10.0.8.0 255.255.255.0 10.0.8.5 10.0.8.6 30
10.0.8.4 255.255.255.252 On-link 10.0.8.6 286
10.0.8.6 255.255.255.255 On-link 10.0.8.6 286
10.0.8.7 255.255.255.255 On-link 10.0.8.6 286
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.0.0 255.255.255.0 10.0.8.5 10.0.8.6 30
192.168.100.0 255.255.255.0 On-link 192.168.100.136 281
192.168.100.0 255.255.255.0 10.0.8.5 10.0.8.6 30
192.168.100.136 255.255.255.255 On-link 192.168.100.136 281
192.168.100.255 255.255.255.255 On-link 192.168.100.136 281
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.0.8.6 286
224.0.0.0 240.0.0.0 On-link 192.168.100.136 281
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.0.8.6 286
255.255.255.255 255.255.255.255 On-link 192.168.100.136 281Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.0.1 По умолчанию
0.0.0.0 0.0.0.0 192.168.11.1 По умолчаниюна сервере такой конфиг:
dev ovpns1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher BF-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local ххх.ххх.ххх.ххх
tls-server
server 10.0.8.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc
username-as-common-name
auth-user-pass-verify /var/etc/openvpn/server1.php via-env
tls-verify /var/etc/openvpn/server1.tls-verify.php
lport 1194
management /var/etc/openvpn/server1.sock unix
max-clients 100
push "route 192.168.0.0 255.255.255.0"
client-to-client
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /etc/dh-parameters.1024
tls-auth /var/etc/openvpn/server1.tls-auth 0
comp-lzo
persist-remote-ip
float
push "route 10.0.8.0 255.255.255.0"
push "route 192.168.100.0 255.255.255.0"
route 192.168.100.0 255.255.255.0сеть за сервером: 192.168.0.0, вот в ней и видно только треть всех компьюетеров и сетевых устройств
-
сеть за сервером: 192.168.0.0, вот в ней и видно только треть всех компьюетеров и сетевых устройств
А у этих устройств, к-ые невидны, шлюзом указано что? Должен быть локальный адрес вашего сервера.
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.0.1 По умолчанию
0.0.0.0 0.0.0.0 192.168.11.1 По умолчаниюА два шлюза зачем ? Для динамического выбора маршрута ? И вообще зачем постоянные маршруты?
-
А вообще как у Вас построена сеть? Другие подсети (192.168.100.0/24 и тд) через другие интерфейсы или VLAN?
Шлюз для 192.168.100.0/24? -
Честно, каша какая-то с конфигом :(
Статьи с примерами. Изучаем и делаем аналогично.
http://forum.pfsense.org/index.php/topic,7840.0.html
http://forum.pfsense.org/index.php/topic,32662.msg168997.html#msg168997
http://doc.pfsense.org/index.php/VPN_Capability_OpenVPN
http://forum.pfsense.org/index.php/topic,35815.0.html
http://habrahabr.ru/post/129510/
-
можно схему сети
-
схема простая: ноутбук с openvpn клиентом на windows 7, 192.168.100.136 => роутер Dlink DIR300 192.168.100.1 <=> internet <=> роутер pfSense 2.0.1, LAN ip 192.168.0.1 => сеть за шлюзом 192.168.0.0/24. В сети у компьютеров ip статические, шлюзом прописан 192.168.0.1, у коммутаторов шлюз не указан. Интересно, что с самого pfsense я всех вижу, и могу зайти на теже коммутаторы, если, например, подключусь по ssh с ноутбука к pfsense и сделаю проброс тоннелей. Настроил подключение VPN PPTP - ситуация такая же, что и с openvpn, с ноутбука вижу ту же треть всей сети ;( разрешающие правила для всех для LAN интерфейса в файрволле прописывал - не помогло. пробовал подключаться с другого компьютера (с внутренней подсетью 192.168.1.0/24) - вижу ту же треть.
то есть проблема выходит за рамки openvpn? -
А NetBIOS на ПК включен?
Пинги на ПК за pf идут? На все или только на часть?
Посмотрите настройко фаеров на ПК которые видно и которые нет. -
у части компьютеров антихакер касперского блокировал доступ с 10.8.0.0/24 - с этим все понятно, как исправить тоже ясно, а на части, в том числе и на коммутаторах, не прописан шлюз, из-за этого я их не вижу через vpn, но преспокойно вижу внутри локалки, как эту проблему можно решить без прописывания шлюза?
спасибо всем за помощь! -
у части компьютеров антихакер касперского блокировал доступ с 10.8.0.0/24 - с этим все понятно, как исправить тоже ясно, а на части, в том числе и на коммутаторах, не прописан шлюз, из-за этого я их не вижу через vpn, но преспокойно вижу внутри локалки, как эту проблему можно решить без прописывания шлюза?
спасибо всем за помощь!1. Я вам по поводу шлюза еще пять постов назад писал :(
2. Врядли без прописывания шлюза выйдет. -
Что бы не открывать новую тему:
Поднял OpenVPN на последней версии pfsense по инструкции из FAQ`а.
Для обеспечения связи на компе клиента в конфиге OVPN-клиента прописал
route 192.168.2.0 255.255.255.0
Запустил. Связь с серваком OVPN есть, пинги до ip LAN карточки (192.168.2.1) от клиента идут.
А вот за OVPN сервак пинги не идут и так же из-за OVPN сервака (да и с него самого).
При этом при всем в конфиге сервера стоят такие параметры:
Tunnel NetWork 10.7.12.0/24
Local NetWork 192.168.2.0/24
Писал в Advanced
route 192.168.1.0 255.255.255.0 (сеть клиента и кстати надо там двоеточие или нет, если строка одна).Но результата не добился. На фаерволе pass all по всем интерфейсам. Понимаю что дело все или в роутах или в фаерволе, но подцепить проблему не могу. Подскажите плиз что смотреть и ответьте - надо ли делать reboot pfsens`a после каждых изменений в конфигах OVPN или достаточно клиента перезапустить? Спасибо
