Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    HELP! Как проключить клиентов через OPENVPN и PFSENSE на вну

    Scheduled Pinned Locked Moved Russian
    6 Posts 4 Posters 3.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      eremey
      last edited by

      Господа! Требуется поддержка штанишек… А точнее дайте уму - разуму. Уже башню сломал и орудие погнул.
      Есть подвижные клиенты. Они через Инет коннектятся по OPENVPN к PFSENSE 2.01. WAN - Белый IP. Получают Соединение через VPN и сетку 10.5.0.Х. Ip получают по DHCP. Коннект  UDP стоит отлично. Значит VPN робит.  На LAN сетка 10.0.1.Х и IP PFSENSE - 10.0.1.22 Если даю ринг  на 10.0.1.22 (lan интерфейс pfsense) ринг идет, а далее тишина. Нет выхода на внутреннюю сетку.

      Может кто подкинет идею куда рыть...

      С уважением Еремей.

      делал по этому http://www.secure-computing.net/wiki/index.php/OpenVPN/Routing ...

      Перерыл топики...
      http://diskatel.narod.ru/index.files/page0001.htm
      http://forum.pfsense.org/index.php/board,9.0.html
      http://forum.pfsense.org/index.php/topic,22839.0.html
      http://forum.pfsense.org/index.php/topic,32662.msg168997.html#msg168997
      http://forum.pfsense.org/index.php/topic,22839.msg117446.html#msg117446
      http://forum.pfsense.org/index.php/board,49.0.html
      http://forum.pfsense.org/index.php/topic,38677.0.html
      http://thin.kiev.ua/index.php?option=com_content&view=article&id=399:-pfsense-20&catid=50:pfsense&Itemid=81
      http://thin.kiev.ua/router-os.html
      http://wiki.lissyara.su/wiki/PFSense
      http://thin.kiev.ua/router-os/50-pfsense.html?start=80
      http://forum.pfsense.org/index.php?action=search2;params=YWR2YW5jZWR8J3wwfCJ8YnJkfCd8OXwifHNob3dfY29tcGxldGV8J3x8InxzdWJqZWN0X29ubHl8J3x8Inxzb3J0fCd8cmVsZXZhbmNlfCJ8c29ydF9kaXJ8J3xkZXNjfCJ8c2VhcmNofCd8b3BlbnZwbg==;start=150
      http://forum.pfsense.org/index.php/topic,47213.0.html
      http://www.secure-computing.net/wiki/index.php/OpenVPN/Routing
      http://forum.pfsense.org/index.php/topic,49416.0.html
      http://doc.pfsense.org/index.php/VPN_Capability_OpenVPN
      http://forum.pfsense.org/index.php/topic,35815.0.html
      http://forum.pfsense.org/index.php/topic,42321.0.html
      http://forum.pfsense.org/index.php/topic,46618.0.html
      http://forum.pfsense.org/index.php/topic,32662.msg168997.html#msg168997
      http://forum.pfsense.org/index.php/topic,35815.0.html
      http://forum.pfsense.org/index.php/topic,30278.0.html
      http://forum.pfsense.org/index.php/topic,45702.0.html
      http://forum.pfsense.org/index.php/topic,48853.0.html
      http://forum.pfsense.org/index.php/topic,37437.15.html

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        Конфиг сервера и клиента в студию.
        Во вкладке Server : Advanced configuration : Advanced :

        route Сеть вашего клиента;
        push "route Сеть вашего сервера";
        push "route Сеть вашего клиента";

        Если нужен доступ с сервера в сеть за клиентом, то во вкладке OpenVPN: Client Specific Override : Advanced configuration: Advanced :
        iroute Сеть вашего клиента;

        В конфиге клиента добавьте команду pull .

        И самое главное - разрешить в fw трафик с\на OpenVPN

        1 Reply Last reply Reply Quote 0
        • S
          sweep4
          last edited by

          @werter:

          route Сеть вашего клиента;
          push "route Сеть вашего сервера";
          push "route Сеть вашего клиента";

          Последняя команда не лишняя будет ?

          1 Reply Last reply Reply Quote 0
          • E
            eremey
            last edited by

            Routing tables

            Destination Gateway Flags Refs Use Mtu Netif Expire
            default 91.xx.xx.129 UGS 0 2610 1500 em0
            10.0.1.0/24 link#2 U 0 7580 1500 em1
            10.0.1.22 link#2 UHS 0 0 16384 lo0
            10.5.0.0/24 10.5.0.2           UGS 0 241002 1500 ovpns1
            10.5.0.1           link#7 UHS 0 0 16384 lo0
            10.5.0.2           link#7 UH 0 1 1500 ovpns1
            91.xx.xx.128/27 link#1 U 0 489115 1500 em0
            91.xx.xx.156 link#1 UHS 0 0 16384 lo0
            127.0.0.1 link#3 UH 0 77 16384 lo0

            А в Advanced configuration сервера прописано следующее:

            push "route 10.5.0.0 255.255.255.0";
            push "route 10.0.1.0 255.255.255.0";
            route 10.5.0.0 255.255.255.0;
            route 10.0.1.0 255.255.255.0;
            client-to-client

            1 Reply Last reply Reply Quote 0
            • E
              eremey
              last edited by

              dev tun
              persist-tun
              persist-key
              client config
              proto udp
              cipher AES-128-CBC
              tls-client
              client
              resolv-retry infinite
              remote 91.xxx.xxx.xxx 1194
              tls-remote "MyserverSert"
              auth-user-pass
              pkcs12 gw-udp-1194.p12
              tls-auth gw-udp-1194-tls.key 1
              comp-lzo
              route 10.5.0.0 255.255.255.0; push"route 10.0.1.0 255.255.255.0"

              Server config:

              Co003_pfs2.jpg
              Co003_pfs2.jpg_thumb

              1 Reply Last reply Reply Quote 0
              • R
                rubic
                last edited by

                По задаче, как она поставлена в 1-ом посте топика, всё, что вы написали в Advanced configuration не имеет никакого смысла.
                push "route 10.5.0.0 255.255.255.0" - не нужно, клиент и так знает этот маршрут
                push "route 10.0.1.0 255.255.255.0" - не нужно, вы просто дублируете то, что прописали в Tunnel Settings -> Local Network
                route 10.5.0.0 255.255.255.0" - не нужно, сервер как бы в курсе (см. Diagnostics -> Routes)
                route 10.0.1.0 255.255.255.0" - хорошо, что сервер умный и игнорирует это
                client-to-client - не нужно, этим вы дублируете галку в чекбоксе Tunnel Settings->Inter-client communication

                Руководство, по которому вы настраивали, предполагает, что есть 2 локальных сети (одна за сервером, вторая - за клиентом), которые надо соединить. В случае с одиночными "подвижными" клиентами ничего этого не нужно. Убирайте всё из Advanced configuration сервера и все рукописные маршруты с клиента, подключайтесь. На клиенте у вас должны появиться маршруты:

                10.5.0.0 255.255.255.0 10.5.0.n
                10.0.1.0 255.255.255.0 10.5.0.n

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.