OpenVPN PKI: Site-to-Site инструкция для обсуждения
-
Согласен. Хотя предположить блокировку файрволлом в этом случае в голову бы не пришло никак
Золотое правило сисадмина - всегда первым делом читать\смотреть логи
-
Кстати, кажется, такая проблема возникла только с переходом на вер. 2.1
Да, тут пытаются объяснить, почему:
https://forum.pfsense.org/index.php?topic=73825.msg403581#msg403581Но у меня то - вообще 2.0.х.
-
@ pigbrother
Но у меня то - вообще 2.0.х.
Это легко проверить, создав на LAN самым верхним нижеследующее правило (правило, касаемое OpenVPN временно задизейблить) :
* LAN subnet * * * *
И после этого проверьте доступность всех ваших впн-клиентов и сетей за ними. Заработает - ок, потом обновитесь до 2.1.х и проверьте снова - уже не должно работать без явного указания в Destination адресов сетей OpenVPN-клиентов.
P.s. А почему не самые дешевые роутеры выбрали в кач-ве клиентов ? Присмотритесь к Asus - модели rt-n12 d1, rt-n10p, rt-n10u + прошивка TomatoUSB shibby's mode (http://tomato.groov.pl/) . Возможности - более чем.
-
* LAN subnet * * * *
Правило временное, верно?Заработает - ок, потом обновитесь до 2.1.х и проверьте снова - уже не должно работать без явного указания в >Destination адресов сетей OpenVPN-клиентов.
Так и поступлю.
А почему не самые дешевые роутеры выбрали в кач-ве клиентов ? Присмотритесь к Asus - модели rt-n12 d1, rt-n10p, >rt-n10u + прошивка TomatoUSB shibby's mode
1. Сначала понравилась работа WDS-WiFi в Микротик, да и вообще работа с WiFi в них сделана замечательно.
2. Повторяемость решений на любых моделях, единые настройки, которые переносятся в секунды.
3. Возможность купить Микротик взамен сгоревшего\украденного и не зависеть от наличия на рынке моделей с возможностью заливки альтернативной прошивки.
4. Цены на простые Микротик в абсолютном выражении уже весьма близки к ценам того же Asus.
5. Аппаратные плюшки - watchdog, POE…
......
Не сказать что я уж очень горячий сторонник Микротик, многие вещи в pfsense, например, мне нравятся намного больше, но как устройство класса "поставил-забыл" Микротик вполне достоин рассмотрения. -
@ pigbrother
Спасибо за ответ по Mikrotik.Но с ценой не соглашусь :
Mikrotik
http://hotline.ua/network/besprovodnoe-oborudovanie/?q=mikrotik (для перевода в $ делите на 12) . Сколько стоит самый дешевый с wi-fi ?
vs
Asus :
http://hotline.ua/network-besprovodnoe-oborudovanie/asus-rt-n10p/
http://hotline.ua/network-besprovodnoe-oborudovanie/asus-rt-n12-d1/
http://hotline.ua/network-besprovodnoe-oborudovanie/asus-rt-n10u-b1/ -
Спасибо за ответ по Mikrotik.
Ну это я описывал тоько плюсы. Минусов\трудностей тоже хватает.
Что же касается цены… Если учесть стоимость открытия новой площадки (склада\магазина\офиса) переплата в $20-30 просто не видна. Для дома выбор Mikrotik - скорее удел энтузиастов, чем реальная необходимость.
Из перечисленных ранее плюсов, выделю, пожалуй, п.3
-
Привет, парни. С обновлением на 2.1.3 у меня появилась проблема с ovpn. Очень часто стало происходить переподключение клиента к серверу в режиме Site-to-Site.
Лог клиентаMay 15 09:30:01 openvpn[64470]: Initialization Sequence Completed May 15 09:30:01 openvpn[64470]: Preserving previous TUN/TAP instance: ovpnc1 May 15 09:29:59 openvpn[64470]: [srv-r1.domain.ru] Peer Connection Initiated with [AF_INET]xxx.xxx.xxx.xxx:11194 May 15 09:29:59 openvpn[64470]: UDPv4 link remote: [AF_INET]xxx.xxx.xxx.xxx:11194 May 15 09:29:59 openvpn[64470]: UDPv4 link local (bound): [AF_INET]yyy.yyy.yyy.yyy May 15 09:29:59 openvpn[64470]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts May 15 09:29:59 openvpn[64470]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info. May 15 09:29:57 openvpn[64470]: SIGUSR1[soft,ping-restart] received, process restarting May 15 09:29:57 openvpn[64470]: [srv-r1.domain.ru] Inactivity timeout (--ping-restart), restarting
Лог сервера
May 15 09:30:01 openvpn[64669]: srv-r2.domain.ru/yyy.yyy.yyy.yyy:32885 send_push_reply(): safe_cap=940 May 15 09:29:59 openvpn[64669]: srv-r2.domain.ru/yyy.yyy.yyy.yyy:32885 MULTI_sva: pool returned IPv4=10.0.18.6, IPv6=(Not enabled) May 15 09:29:59 openvpn[64669]: yyy.yyy.yyy.yyy:32885 [srv-r2.domain.ru] Peer Connection Initiated with [AF_INET]yyy.yyy.yyy.yyy:32885 May 15 09:29:39 openvpn[68832]: Initialization Sequence Completed May 15 09:29:39 openvpn[68832]: /usr/local/sbin/ovpn-linkup ovpnc2 1500 1541 172.16.202.21 172.16.202.22 init May 15 09:29:39 openvpn[68832]: /sbin/ifconfig ovpnc2 172.16.202.21 172.16.202.22 mtu 1500 netmask 255.255.255.255 up May 15 09:29:39 openvpn[68832]: do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=0 May 15 09:29:39 openvpn[68832]: TUN/TAP device /dev/tun2 opened May 15 09:29:39 openvpn[68832]: TUN/TAP device ovpnc2 exists previously, keep at program end May 15 09:29:37 openvpn[68832]: [ticket-server] Peer Connection Initiated with [AF_INET]zzz.zzz.zzz.zzz:1196 May 15 09:29:36 openvpn[68832]: UDPv4 link remote: [AF_INET]zzz.zzz.zzz.zzz:1196 May 15 09:29:36 openvpn[68832]: UDPv4 link local (bound): [AF_INET]xxx.xxx.xxx.xxx May 15 09:29:36 openvpn[68420]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts May 15 09:29:36 openvpn[68420]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info. May 15 09:29:36 openvpn[68420]: OpenVPN 2.3.2 amd64-portbld-freebsd8.3 [SSL (OpenSSL)] [LZO] [eurephia] [MH] [IPv6] built on Mar 27 2014 May 15 09:29:36 openvpn[1195]: SIGTERM[hard,] received, process exiting May 15 09:29:36 openvpn[1195]: /usr/local/sbin/ovpn-linkdown ovpnc2 1500 1541 172.16.202.21 172.16.202.22 init May 15 09:29:36 openvpn[64669]: Initialization Sequence Completed May 15 09:29:36 openvpn[64669]: UDPv4 link remote: [undef] May 15 09:29:36 openvpn[64669]: UDPv4 link local (bound): [AF_INET]xxx.xxx.xxx.xxx:11194 May 15 09:29:36 openvpn[1195]: event_wait : Interrupted system call (code=4) May 15 09:29:36 openvpn[62072]: /usr/local/sbin/ovpn-linkup ovpns1 1500 1557 10.0.18.1 10.0.18.2 init May 15 09:29:36 openvpn[62072]: /sbin/ifconfig ovpns1 10.0.18.1 10.0.18.2 mtu 1500 netmask 255.255.255.255 up May 15 09:29:36 openvpn[62072]: do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=0 May 15 09:29:36 openvpn[62072]: TUN/TAP device /dev/tun1 opened May 15 09:29:36 openvpn[62072]: TUN/TAP device ovpns1 exists previously, keep at program end May 15 09:29:36 openvpn[62072]: Control Channel Authentication: using '/var/etc/openvpn/server1.tls-auth' as a OpenVPN static key file May 15 09:29:36 openvpn[62072]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts May 15 09:29:36 openvpn[62072]: OpenVPN 2.3.2 amd64-portbld-freebsd8.3 [SSL (OpenSSL)] [LZO] [eurephia] [MH] [IPv6] built on Mar 27 2014 May 15 09:29:36 openvpn[97729]: SIGTERM[hard,] received, process exiting May 15 09:29:36 openvpn[97729]: /usr/local/sbin/ovpn-linkdown ovpns1 1500 1557 10.0.18.1 10.0.18.2 init May 15 09:29:36 openvpn[97729]: event_wait : Interrupted system call (code=4) May 15 09:28:59 openvpn[1195]: Initialization Sequence Completed May 15 09:28:59 openvpn[1195]: /usr/local/sbin/ovpn-linkup ovpnc2 1500 1541 172.16.202.21 172.16.202.22 init May 15 09:28:59 openvpn[1195]: /sbin/ifconfig ovpnc2 172.16.202.21 172.16.202.22 mtu 1500 netmask 255.255.255.255 up May 15 09:28:59 openvpn[1195]: do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=0 May 15 09:28:59 openvpn[1195]: TUN/TAP device /dev/tun2 opened May 15 09:28:59 openvpn[1195]: TUN/TAP device ovpnc2 exists previously, keep at program end May 15 09:28:57 openvpn[1195]: [ticket-server] Peer Connection Initiated with [AF_INET]zzz.zzz.zzz.zzz:1196 May 15 09:28:57 openvpn[1195]: UDPv4 link remote: [AF_INET]zzz.zzz.zzz.zzz:1196 May 15 09:28:57 openvpn[1195]: UDPv4 link local (bound): [AF_INET]xxx.xxx.xxx.xxx May 15 09:28:57 openvpn[1114]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts May 15 09:28:57 openvpn[1114]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info. May 15 09:28:57 openvpn[1114]: OpenVPN 2.3.2 amd64-portbld-freebsd8.3 [SSL (OpenSSL)] [LZO] [eurephia] [MH] [IPv6] built on Mar 27 2014 May 15 09:28:57 openvpn[3639]: SIGTERM[hard,] received, process exiting May 15 09:28:57 openvpn[3639]: /usr/local/sbin/ovpn-linkdown ovpnc2 1500 1541 172.16.202.21 172.16.202.22 init May 15 09:28:57 openvpn[97729]: Initialization Sequence Completed May 15 09:28:57 openvpn[97729]: UDPv4 link remote: [undef] May 15 09:28:57 openvpn[97729]: UDPv4 link local (bound): [AF_INET]xxx.xxx.xxx.xxx:11194 May 15 09:28:57 openvpn[3639]: event_wait : Interrupted system call (code=4) May 15 09:28:57 openvpn[95558]: /usr/local/sbin/ovpn-linkup ovpns1 1500 1557 10.0.18.1 10.0.18.2 init May 15 09:28:57 openvpn[95558]: /sbin/ifconfig ovpns1 10.0.18.1 10.0.18.2 mtu 1500 netmask 255.255.255.255 up May 15 09:28:57 openvpn[95558]: do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=0 May 15 09:28:57 openvpn[95558]: TUN/TAP device /dev/tun1 opened May 15 09:28:57 openvpn[95558]: TUN/TAP device ovpns1 exists previously, keep at program end May 15 09:28:57 openvpn[95558]: Control Channel Authentication: using '/var/etc/openvpn/server1.tls-auth' as a OpenVPN static key file May 15 09:28:57 openvpn[95558]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts May 15 09:28:57 openvpn[95558]: OpenVPN 2.3.2 amd64-portbld-freebsd8.3 [SSL (OpenSSL)] [LZO] [eurephia] [MH] [IPv6] built on Mar 27 2014 May 15 09:28:57 openvpn[99580]: SIGTERM[hard,] received, process exiting May 15 09:28:57 openvpn[99580]: /usr/local/sbin/ovpn-linkdown ovpns1 1500 1557 10.0.18.1 10.0.18.2 init May 15 09:28:57 openvpn[99580]: event_wait : Interrupted system call (code=4)
Помогите пожалуйста разобраться что изменилось в настройках после обновления.
Отцы, а мне поможете?
-
@ Ilyuha
1. Удалите старый сервер OpenVPN \ клиент OpenVPN
2. Настройте заново в том же режиме или в режиме Remote access (SSL/TLS)Вы бы это давно уже сделали и забыли про проблему.
-
@ Ilyuha
1. Удалите старый сервер OpenVPN \ клиент OpenVPN
2. Настройте заново в том же режиме или в режиме Remote access (SSL/TLS)Вы бы это давно уже сделали и забыли про проблему.
Сделал все по новой: перегенерировал сертификаты, настроил в режиме P2P - результат тотже. Настораживает первая строчка в логе перед разрывом соединения
May 21 10:35:08 openvpn[99686]: [srv-r1.домен.ru] Inactivity timeout (--ping-restart), restarting
Где можно посмотреть настройки параметра неактивности?
PS Отключил пока мониторинг ВПН шлюза со стороны клиента, может он думает что нет связи.
PPS Не помогло отключение мониторинга шлюза ВПН… -
У меня в настройках клиента :
keepalive 5 10
ping-timer-remЕсли для вас это слишком часто :
keepalive 60 120
http://tuxnotes.ru/articles.php?a_id=26 :
keepalive < seconds > < seconds > - является совмещением сразу двух команд - ping и ping-restart. Использует сразу два параметра в секундах, перечисленных через пробел. Пример:
keepalive 10 180
Означает следующее: каждые 10 секунд посылать ping на удаленный хост, и, если за 180 секунд не было получено ни одного пакета - то перезапускать туннель. -
У меня в настройках клиента :
keepalive 5 10
ping-timer-remЭто слишком часто , согласен, смените, например, на :
keepalive 60 120
http://tuxnotes.ru/articles.php?a_id=26 :
keepalive < seconds > < seconds > - является совмещением сразу двух команд - ping и ping-restart. Использует сразу два параметра в секундах, перечисленных через пробел. Пример:
keepalive 10 180
Означает следующее: каждые 10 секунд посылать ping на удаленный хост, и, если за 180 секунд не было получено ни одного пакета - то перезапускать туннель.На клиенте в Advanced configuration добавить```
keepalive 60 120 -
Верно. Пробуйте.
-
werter
Увеличил keepalive 60 300 и по прежнему происходит реконнект.May 22 13:31:10 openvpn[15065]: Initialization Sequence Completed May 22 13:31:10 openvpn[15065]: Preserving previous TUN/TAP instance: ovpnc2 May 22 13:31:08 openvpn[15065]: [srv-r1.domain.ru] Peer Connection Initiated with [AF_INET]xxx.xxx.xxx.xxx:11194 May 22 13:31:08 openvpn[15065]: UDPv4 link remote: [AF_INET]xxx.xxx.xxx.xxx:11194 May 22 13:31:08 openvpn[15065]: UDPv4 link local (bound): [AF_INET]yyy.yyy.yyy.yyy May 22 13:31:08 openvpn[15065]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts May 22 13:31:08 openvpn[15065]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info. May 22 13:31:06 openvpn[15065]: SIGUSR1[soft,ping-restart] received, process restarting May 22 13:31:06 openvpn[15065]: [srv-r1.domain.ru] Inactivity timeout (--ping-restart), restarting
В чем еще может быть проблема?
-
1.
keepalive 60 300
Слишком много . Хотя бы :
keepalive 10 60
2. Далее, возможно что-то с настройками сервиса OpenVPN на сервере\клиенте.
Попробуйте грознуть и настройить с нуля.3. След. момент - проблемы у провайдера с каналом. Как с одной так и с другой стороны.
-
Подскажите пожалуйста…
настроил по инструкции... работает.... но только с 1 филиалом... не могу добавить еще двух..Сеть офиса - 192.168.0.0/24
Сеть филиала №1 - 192.168.10.0/24
Сеть филиала №2 - 192.168.11.0/24
Сеть филиала №3 - 192.168.12.0/24в настройках Сервера
указал сеть IPv4 Local Network/s - 192.168.0.0/24
поле IPv4 Remote Network/s оставил пустым
и добавил маршруты в поле Advanced
route 192.168.10.0 255.255.255.0;
route 192.168.11.0 255.255.255.0;
route 192.168.12.0 255.255.255.0;В Client Specific Override создал записи с командой iroute
названия соответствуют common name в сгенерированных сертификатах
у каждого клиента iroute на свою сетьв фаерволе на вкладке OpenVPN создал разрешающие правила на сервере и клиентах…
с первым соеденилось успешно пинги бегают связь есть... а другие соединение OpenVPN поднимается.... но доступа нет и пингов нет... пингует клиент №2 и №3 только свой виртуальный IP а виртуальный сервера - нет и другого клиента - нет....
не пойму что и как первый раз настраиваю pfsense и OpenVPN
отличие от инструкции это поле Comon Name я тут прописал названия городов филиалов а не "opvnc1" как в примере... вижу просто в таблице Роутинга в столбике Netif как раз фигурируют opvnc1 у первого клиента opvnc2 у второго и opvnc3 у третьего..... это имеет значение?... нужно ли переделывать сертификаты с "common name" - opvnc1 ...2 ...3 ???
а в Client Specific Override-> Tunnel Settings : Tunnel Network
точно ничего указывать не нужно на сервере? -
@ EternalTear
Рисуйте схему со всеми адресами и укажите что хотите получить.
-
сейчас добавил команду на сервер в поле Advanced
topology subnet;
так понятнее один сервер и клиенты
так же поле IPv4 Remote Network/s оставил пустым и добавил в Advancedroute 192.168.10.0 255.255.255.0;
route 192.168.11.0 255.255.255.0;
route 192.168.12.0 255.255.255.0;тут не нужно указывать gateway и метрику?
Клиенты получают адреса
10.8.0.2
10.8.0.3
10.8.0.4с 10.8.0.2 пинги на 10.8.0.1 есть.. а с остальных нет… сами себя пингуют а ни сервер 0.1... ни друг друга... не видят...
правила в фаерволе есть... на вкладке OpenVPN разрешено все + отдельно разрешен протокол ICMP тоже отовсюду и вездеStatus - OpenVPN там ниже есть Show Routing Table
Common Name Real Address Target Network Last Used
Boguslav zzz.zz.z.55:12017 10.8.0.2 Sun Jun 1 18:44:17 2014
KrHutor yyy.y.yy.47:38106 192.168.12.0/24 Sun Jun 1 18:36:46 2014
Boguslav zzz.zz.z.55:12017 192.168.10.0/24 Sun Jun 1 18:35:34 2014
KrHutor yyy.y.yy.47:38106 10.8.0.4 Sun Jun 1 18:40:39 2014
Dybyn xxx.x.xx.171:3465 192.168.11.0/24 Sun Jun 1 18:42:32 2014
Dybyn xxx.x.xx.171:3465 10.8.0.3 Sun Jun 1 18:44:14 2014тут маршруты есть.... а вот в Diagnostics - Routes на сервере ничего не вижу......
хм.... в поле IPv4 Remote Network/s можно писать несколько сетей?
-
Хм… странно раньше маршруты добавлялись...
изменил в Advanced роуты с добавлением gatewayroute 192.168.10.0 255.255.255.0 10.8.0.1;
route 192.168.11.0 255.255.255.0 10.8.0.1;
route 192.168.12.0 255.255.255.0 10.8.0.1;заработало... теперь к двум станциям есть таки доступ.... одна выделывается... постоянно рвется связь...
этот совет нашел здесь
хотя тут написано что нужно как в примерекстати там же на форуме пишет человек что и в Client Specific Override где команда iroute так же указывать vpn_gateway и когда я так попробовал….. то произошло вообще нечто фантастическое..... те станции что уже работали перестали пинговаться... а вот та что никак не пинговалась стала работать .... Оо
мдее ничего не понятно... а можно как-то сделать что бы Virtual Address клиентам выдавало всегда один и тот же...?
-
http://fastinetserver.wordpress.com/2013/03/09/pfsense-openvpn-static-ip-for-clients/
http://www.iceflatline.com/2014/01/how-to-assign-static-ip-addresses-to-openvpn-clients-in-pfsense/
-
Oo ….мдее..... очередной раз перезагрузил удаленные роутеры, перезагрузил свой..... и все запустилось.... но только с указанием gateway в командах iroute и route а не только сети и маски....
Заметил так же что правила фаервола иногда применяются сразу... а иногда нужно обязательно перезагрузить... очень путает... :(
за ссылки благодарю... завтра поэксперементирую...
-
Можно попробовать вместо ребута делать reset states.
P.s. А версия продукта-то у вас какая ? Не х64 часом?
-
С радостью увидел бы ваши окончательные настройки.
Настройка OpenVPN в pfSense 2.1.х - весьма своеобразный квест.
-
P.s. А версия продукта-то у вас какая ? Не х64 часом?
У всех стоит
2.1.3-RELEASE (i386)
built on Thu May 01 15:52:17 EDT 2014
FreeBSD 8.3-RELEASE-p16С радостью увидел бы ваши окончательные настройки.
чуть позже…. хотя у меня все как в инструкции... на первой странице....
только в поле Advanced на сервере добавил (выделено жирным)
topology subnet;
route 192.168.10.0 255.255.255.0 10.8.0.1;
route 192.168.11.0 255.255.255.0 10.8.0.1;
route 192.168.12.0 255.255.255.0 10.8.0.1;
route 192.168.13.0 255.255.255.0 10.8.0.1;где 10.8.0.1 - адрес VPN сервера в тунеле… а сети 192.168.10.0 - .....11.0 - .....12.0 - .....13.0 - это сети филиалов которые подключаются как клиенты
и Client Specific Override выглядит так:
для каждого клиента свой IP (192.168.10.0 - .....11.0 - .....12.0 - .....13.0)
iroute 192.168.10.0 255.255.255.0 10.8.0.1главное в точности написать Common Name (CN - в сертификате клиента)
В фаерволе на интерфейсах WAN (у меня их аж три :D ) не забыть открыть доступ на тот порт на котором настроен сервер OpenVPN
Ну и не забывайте перезагружать все устройства ;) на всякий случай… если что-то не запустилось, а настроено правильно... (будьте внимательны 8) если что я не виноват коли вы себе доступ на ВебИнтерфейс закроете) -
А если 10.8.0.1 сменить на vpn_gateway; . Ибо явно указывать адрес шлюза - не комильфо.
-
Спасибо за настройки.
Сервер в режиме Remote Access?
topology subnet - обязательно? C topology subnet вроде как невозможно подключить Windows-клиентов.Мне тоже приходилось использовать директиву с указанием gateway, правда помещал ее в Client Specific Override:
push route "%network% %mask% %gateway%"
Без нее не получал маршрут один из клиентов (железных) в сеть другого клиента.
-
Спасибо за статью!
А как быть с windows клиентами, подключающимися к данной схеме?
Между сетями на PfSense трафик ходит в обе стороны, но при подключении к такому серверу с обычного windows клиента, трафик идет только от клиента к серверу.
Подскажите, если кто сталкивался.Конфиг клиента windows:
tls-client
client
dev tun
remote xxx.xxx.xxx.xxx 1194 udp
cipher AES-256-CBC
verb 3
ns-cert-type server
ca internal-ca.crt
cert ovpnc1-cert.crt
key ovpnc1-cert.key -
@ ngubz
трафик идет только от клиента к серверу.
Т.е. сеть за сервером клиенту видна, а сети за сервером клиентская сеть - нет?
-
Удаленному клиенту (домашнему пользователю), подключающемуся с windows клиента Openvpn, сети офисов пингуются, а компьютеры в офисах не пингуют такого удаленного клиента. Очень нужно, чтоб трафик ходил и от клиента, т.к. в сети работает VoIP, а у удаленных (домашних) пользователей сейчас голос ходит только в одну сторону (они слышат, их - нет).
С портами все в порядке, я знаю, что дело в OpenVPN, но не знаю, что я таком случае делать. Не ставить же каждому домашнему пользователю сервер с PfSense)
-
Рисуйте схему.
-
Рисуйте схему.
Трафик между пользователями офисов ходит во все стороны. OpenVPN сервер и клиентов настраивал по этой статье.
С удаленными пользователями (у которых Windows OpenVPN клиент) трафик идет только к ним. От них ответа нет. Удаленные клиенты пингуют пользователей любого филиала, но никто не может пинговать удаленных пользователей.Собственно и вопрос, как подключать таких пользователей. Что писать в конфигах openvpn клиентов и нужно ли так же создавать правила Client Specific Overrides для них.
-
В каком режиме работает OpenVPN на головном офисе - в режиме сервера или в режиме p2p?
P.s. Добавьте на этих моб. клиентах в конфиг строки route x.x.x.x y.y.y.y до тех сетей, к-ые Вам нужны.
-
В каком режиме работает OpenVPN на головном офисе - в режиме сервера или в режиме p2p?
P.s. Добавьте на этих моб. клиентах в конфиг строки route x.x.x.x y.y.y.y до тех сетей, к-ые Вам нужны.
В головном офисе OpenVPN работает в режиме Server Mode: Peer to peer (SSL/TLS) (все как в статье :))
Добавил в конфиг моб. клиента:
route 192.168.1.0 255.255.255.0
route 192.168.2.0 255.255.255.0
route 192.168.3.0 255.255.255.0
Не помогло.
Забыл сказать, что ip адрес туннеля (vpn network) мобильных клиентов, пингуется. А локальный - нет.сеть за pfsense 1: 192.168.1.0/24
сеть за pfsense 2: 192.168.2.0/24
сеть за pfsense 3: 192.168.3.0/24
сеть vpn туннеля: 10.99.99.0/24
локальный ip одного из моб. клиентов: 192.168.100.101 - не пингуется
vpn ip этого же моб. клиента: 10.99.99.6 - пингуетсяв поле Advenced на сервере:
route 192.168.2.0 255.255.255.0; route 192.168.3.0 255.255.255.0; route 192.168.100.0 255.255.255.0;в Client Specific Overrides добавлено 2 клиента: pfsense 2 и pfsense 3. Пробовал добавить туда же мобильного клиента по имени сертификата и написать ему в advenced iroute 192.168.100.0 255.255.255.0
Сети за pfsense 1, pfsense 2, pfsense 3 друг друга пингуют.
VoIP между офисами тоже отлично работает, а с мобильными клиентами голос только в одну сторону. Хотя подключение и звонок проходит. Я думаю все дело в том, что локальный ip мобильного клиента не пингуется. -
https://community.openvpn.net/openvpn/wiki/NatOverWindows2008
http://support.microsoft.com/kb/315236/ruили
google -> ipenablerouter openvpn
1. Enabling IP forwarding Press Windows+R and type:
regedit.exeNow navigate to the:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parametersand set
IpEnableRouterto 1
-
Вопрос спецам по сабжу: должен ли отвечать на пинги серверный конец тунеля?
Система pfSense 2.1.4 (x64), под тунель назначена сетка 172.19.19.0/24, topology subnet.
Пробовал сервер в режиме и p2p и RA - 172.19.19.1 на пинги не отзывается (правило "пропускать все" для OpenVPN добавлено) -
(правило "пропускать все" для OpenVPN добавлено)
Точно ВСЁ ? Потому как по-умолчанию правило только для TCP создается.
Далее ,хотелось бы увидеть таблицу маршрутизации при установленном соединение.
P.s. А проще так - включайте логирование fw и смотрите что блокируется.
-
в правилах:
IPv4 * * * * * * noneмаршруты на сервере:
172.19.17.0/24 172.19.19.2 UGS 0 0 1500 ovpns1
172.19.19.0/24 172.19.19.1 UGS 0 696 1500 ovpns1
172.19.19.1 link#11 UH 0 25 1500 ovpns1И я правильно вас понял, что на пинги 172.19.19.1 при правильных настройках отзываться должен?
-
Глупо, но со стороны сервера или со стороны клиента отзываться должен?
Далее у вас пакеты между подсетями сервера и клиента (-ов) нормально "бегают"? Если - да, то не заморачивайтесь.P.s. А проще так - включайте логирование fw и смотрите что блокируется.
Это проверили? Смотрите логи fw - что может быть проще и нагляднее?
-
Добрый день….
Подскажите пожалуйста...
а как можно указать клиентам несколько IP адресов моего cервера?Использовал сервис DYNDNS no-ip.org но сейчас у них проблеммы ну вот как тут можно нормально относится к Майкрософт?…. и клиенты отвалились...
как-то можно задать список IP адресов к которым клиент мог бы пытаться подключаться?... (если не доступен один то пытается подключится по другому..)
-
Указывать несколько remote :
client
remote x.x.x.36 1194
…остальные настройкиremote x.x.x.98 1195
...остальные настройки -
Глупо, но со стороны сервера или со стороны клиента отзываться должен?
Далее у вас пакеты между подсетями сервера и клиента (-ов) нормально "бегают"? Если - да, то не заморачивайтесь.P.s. А проще так - включайте логирование fw и смотрите что блокируется.
Это проверили? Смотрите логи fw - что может быть проще и нагляднее?
Не пингует сам себя…Т.е. сам себя пинговать и не должен? ??? И с некоторых клиентов. Пакеты бегают в обе стороны, но не все как хотелось бы, вот хочу понять с какой стороны копать начинать. В логе тишина - те пинги что проходят есть, те что не проходят и в логе упоминаний о них нет.
Еще вопрос - в мануалах OpenVPN 2.xx в самом начале есть такие слова:
--mode m
Set OpenVPN major mode. By default, OpenVPN runs in point-to-point mode ("p2p"). OpenVPN 2.0 introduces a new mode ("server") which implements a multi-client server capability.
В конфигурационном файле, формируемом через интерфейс pfSense никаких упоминаний mode нет, т.е. работает в режиме p2p. А как сконфигурировать mode server? (В примерах и мануалах на OpenVPN тоже не нашел)PS Немного разобрался, нужно выбирать Remote Access и директива server вставит mode server. Правда обнаружилась другая непонятная вещь - оказывается с топологией subnet формат ifconfig ip mask (как у tap)