HELP! Как проключить клиентов через OPENVPN и PFSENSE на вну

eremey

Господа! Требуется поддержка штанишек… А точнее дайте уму - разуму. Уже башню сломал и орудие погнул.
Есть подвижные клиенты. Они через Инет коннектятся по OPENVPN к PFSENSE 2.01. WAN - Белый IP. Получают Соединение через VPN и сетку 10.5.0.Х. Ip получают по DHCP. Коннект UDP стоит отлично. Значит VPN робит. На LAN сетка 10.0.1.Х и IP PFSENSE - 10.0.1.22 Если даю ринг на 10.0.1.22 (lan интерфейс pfsense) ринг идет, а далее тишина. Нет выхода на внутреннюю сетку.

Может кто подкинет идею куда рыть...

С уважением Еремей.

делал по этому http://www.secure-computing.net/wiki/index.php/OpenVPN/Routing ...

Перерыл топики...
http://diskatel.narod.ru/index.files/page0001.htm
http://forum.pfsense.org/index.php/board,9.0.html
http://forum.pfsense.org/index.php/topic,22839.0.html
http://forum.pfsense.org/index.php/topic,32662.msg168997.html#msg168997
http://forum.pfsense.org/index.php/topic,22839.msg117446.html#msg117446
http://forum.pfsense.org/index.php/board,49.0.html
http://forum.pfsense.org/index.php/topic,38677.0.html
http://thin.kiev.ua/index.php?option=com_content&view=article&id=399:-pfsense-20&catid=50:pfsense&Itemid=81
http://thin.kiev.ua/router-os.html
http://wiki.lissyara.su/wiki/PFSense
http://thin.kiev.ua/router-os/50-pfsense.html?start=80
http://forum.pfsense.org/index.php?action=search2;params=YWR2YW5jZWR8J3wwfCJ8YnJkfCd8OXwifHNob3dfY29tcGxldGV8J3x8InxzdWJqZWN0X29ubHl8J3x8Inxzb3J0fCd8cmVsZXZhbmNlfCJ8c29ydF9kaXJ8J3xkZXNjfCJ8c2VhcmNofCd8b3BlbnZwbg==;start=150
http://forum.pfsense.org/index.php/topic,47213.0.html
http://www.secure-computing.net/wiki/index.php/OpenVPN/Routing
http://forum.pfsense.org/index.php/topic,49416.0.html
http://doc.pfsense.org/index.php/VPN_Capability_OpenVPN
http://forum.pfsense.org/index.php/topic,35815.0.html
http://forum.pfsense.org/index.php/topic,42321.0.html
http://forum.pfsense.org/index.php/topic,46618.0.html
http://forum.pfsense.org/index.php/topic,32662.msg168997.html#msg168997
http://forum.pfsense.org/index.php/topic,35815.0.html
http://forum.pfsense.org/index.php/topic,30278.0.html
http://forum.pfsense.org/index.php/topic,45702.0.html
http://forum.pfsense.org/index.php/topic,48853.0.html
http://forum.pfsense.org/index.php/topic,37437.15.html

werter

Конфиг сервера и клиента в студию.
Во вкладке Server : Advanced configuration : Advanced :

route Сеть вашего клиента;
push "route Сеть вашего сервера";
push "route Сеть вашего клиента";

Если нужен доступ с сервера в сеть за клиентом, то во вкладке OpenVPN: Client Specific Override : Advanced configuration: Advanced :
iroute Сеть вашего клиента;

В конфиге клиента добавьте команду pull .

И самое главное - разрешить в fw трафик с\на OpenVPN

sweep4

@werter:

route Сеть вашего клиента;
push "route Сеть вашего сервера";
push "route Сеть вашего клиента";

Последняя команда не лишняя будет ?

eremey

Routing tables

Destination Gateway Flags Refs Use Mtu Netif Expire
default 91.xx.xx.129 UGS 0 2610 1500 em0
10.0.1.0/24 link#2 U 0 7580 1500 em1
10.0.1.22 link#2 UHS 0 0 16384 lo0
10.5.0.0/24 10.5.0.2 UGS 0 241002 1500 ovpns1
10.5.0.1 link#7 UHS 0 0 16384 lo0
10.5.0.2 link#7 UH 0 1 1500 ovpns1
91.xx.xx.128/27 link#1 U 0 489115 1500 em0
91.xx.xx.156 link#1 UHS 0 0 16384 lo0
127.0.0.1 link#3 UH 0 77 16384 lo0

А в Advanced configuration сервера прописано следующее:

push "route 10.5.0.0 255.255.255.0";
push "route 10.0.1.0 255.255.255.0";
route 10.5.0.0 255.255.255.0;
route 10.0.1.0 255.255.255.0;
client-to-client

eremey

dev tun
persist-tun
persist-key
client config
proto udp
cipher AES-128-CBC
tls-client
client
resolv-retry infinite
remote 91.xxx.xxx.xxx 1194
tls-remote "MyserverSert"
auth-user-pass
pkcs12 gw-udp-1194.p12
tls-auth gw-udp-1194-tls.key 1
comp-lzo
route 10.5.0.0 255.255.255.0; push"route 10.0.1.0 255.255.255.0"

Server config:

Co003_pfs2.jpg_thumb

rubic

По задаче, как она поставлена в 1-ом посте топика, всё, что вы написали в Advanced configuration не имеет никакого смысла.
push "route 10.5.0.0 255.255.255.0" - не нужно, клиент и так знает этот маршрут
push "route 10.0.1.0 255.255.255.0" - не нужно, вы просто дублируете то, что прописали в Tunnel Settings -> Local Network
route 10.5.0.0 255.255.255.0" - не нужно, сервер как бы в курсе (см. Diagnostics -> Routes)
route 10.0.1.0 255.255.255.0" - хорошо, что сервер умный и игнорирует это
client-to-client - не нужно, этим вы дублируете галку в чекбоксе Tunnel Settings->Inter-client communication

Руководство, по которому вы настраивали, предполагает, что есть 2 локальных сети (одна за сервером, вторая - за клиентом), которые надо соединить. В случае с одиночными "подвижными" клиентами ничего этого не нужно. Убирайте всё из Advanced configuration сервера и все рукописные маршруты с клиента, подключайтесь. На клиенте у вас должны появиться маршруты:

10.5.0.0 255.255.255.0 10.5.0.n
10.0.1.0 255.255.255.0 10.5.0.n