OpenVPN PKI: Site-to-Site инструкция для обсуждения

dmitry042

@werter:

Доброе.
Если связываете сети через впн, то видится они по умолч. будут только при указании шлюзов.
Или если руками (или по dhcp) на клиентах явно не добавлен маршрут в удал. сеть через туннель.

И это не особенность пф - это особеность работы сетей вообще.

P.s. Оч. хорошо написанный цикл по сетям - http://linkmeup.ru/tag/сети%20для%20самых%20маленьких/. Спасибо ребятам.

Не соглашусь с вами, при прописывани маршрутов они отлично видятся, тут как раз вопрос к pf, а не к идеалогии vpn в целом.

Шлюзы все в pf указаны, вопрос не в указани шлюзов, вопрос в том, почему я конкретно должен указать шлюзом pf на клиентах чтобы видеть клиентов находяшихся рядом с ним?
~~Маршруты до всех подсетей прописаны в статических маршрутах, и при обращении к pf он нормально их дальше перекидывает, но почему то при соединении двух pf черзе openvpn этого не происходит, но это уже следующая песня.

Обясните почему мне надо всех клиентов роутить через PF чтобы их было видно? У циски таких проблем нет. Возгласы так используйте везде циску сразу отметаю, ибо К9 поставить через таможню в почти все страны постсоветского оффициально не так просто.~~

Перечитал сообщение, не очень ясно написал.

PF находится в одной сети как я уже казал выше с рядом клиентов в подсети 4,0/24.
Если в качестве шлюза на клиентах указать сам pf тогда их видно с стороны подсети 10,194,51,0/22 которая подключена через vpn.
вопрос почему при прохождении

client net                        pf client                  pf server        local net
10.194.51.0/22              10.194.51.1          x.x.4.31          x.x.4.0/24

я вижу только клиентов которые имею в качестве шлюза 4,31. почему я не вижу машин которые находятся за 4,31 если на клиентах в этой сети не прописан 4,31 как шлюз. при условии что статические маршруты на pf прописаны и работают в все подсети.
Вот прям даже картинку нарисовал
почему на клиенте 51,5 на картинке нет возможности достучаться до х.х.4.10. По сути на шлюзе 51,1 прописано где искать подсеть х.х.4.0/24. сам сервер PF находится в одной подсети с клиентом х.х.4.10 и имеет адрес х.х.4.31. Почему он его не видит? сервер openvpn PF не видит клиента с адресом х.х.4.10 находясь с ним в одной сети. При этом с самого сервера PF пинги до клиента х.х.4.10 идут. Но через openvpn этот клиент не виден. какой шаг пропущен? почему так получилось?
При этом клиент при обращении к другим подсетям через PF успешно уходит по указанным статичным маршрутам до х.х.4.1 и х.х.4.5. То есть маршрутизация работает, не работает что то между openvpn и pf. Вопрос что?

Хорошо хрен с ним, давайте тогда форвадить весь трафик как вариант и использовать dhcp сервер в подсети 4,0/24, киньте в меня ссылкой если не сложно где это глянуть

A Former User

Перечитал 5 раз пост.
1. Если у Вас не видит x.x.4.10 x.x.4.31 то значит у 4.10 стоит фаервол, который блокирует все, включая ICMP. Либо в настройках DHCP стоит галочка блокировать всех кроме статически заданных в таблице ниже.
2. А кто Вам сказал что шлюзом должен быть 4.31? шлюзом должен быть начальный адрес вашего тунеля IPV4 Tunnel Network (не путать с IP Server adress) для клиента. То есть при одном клиенте и сервере как правило используется x.x.x.0/30 подсеть (больший диапазон бесполезен), следовательно первый ип будет назначен серверной машине туннеля. Его и надо ставить в шлюз в роутинг параметрах для клиента. Соответственно во вкладке фаервола для OpenVPN должны быть разрешены все пакеты.
В параметрах нужно указать удаленные локальные сети. Либо в Advanced пишем руками route сеть маска сети.
3. Если Вы пытаетесь пинговать клиентов у которых не стоит в качестве шлюза 4.31 с компа у которого стоит в качестве шлюза 4.31,
Намек №1: тогда, может, стоит пинговать компьютеры у которых нет шлюзов с компьютеров у которых тоже нет шлюза?
@dmitry042:

при условии что статические маршруты на pf прописаны и работают в все подсети.

Намек №2: А в компьютерах прописаны обратные статические маршруты во все сети? Или PF отправив пакет по маршруту должен от компа по его наитию получить ответ?
Намек №3: А может ну его этот шлюз, да пофигашить на всех компах, а маршурты все руками везде прописать…
@dmitry042:

Не соглашусь с вами, при прописывани маршрутов они отлично видятся, тут как раз вопрос к pf, а не к идеалогии vpn в целом.

Прежде чем не соглашаться с опытными людьми, в начале, может, базовые правила маршрутизации почитать, на кои Вам скромно указали выше.

dmitry042

1. Внутри подсети х.х.4.0/24 всё клиенты видят 4.31. Тут всё ок
2. Из подсети х.х.4.0/24 все пакеты бегают отлично. Тут тоже всё ок
3.нет такой необходимости нет, согласно пункту 1. все компы в подсети х.х.4.0/24 видят друг друга вне зависимости от шлюза.

Ёще раз, из подсети 10.194.51.0/22 видны машины подсети х.х.4.0/24 только на которых указан шлюз 4.31. В этом проблема, то есть машины на которых указан другой шлюз, но находящиеся в этой подсети х.х.4.0/24 из клиентской 10.194.51.0/22 не видны.

werter

2 dmitry042
Доброе.
Только указание шлюзом пф поможет.

A Former User

Все правильно, откуда тот "другой" шлюз знает куда пакеты отправлять. Он к вашему каналу отношения то не имеет…
Есть какой то скрытый смысл в другом шлюзе? Может все через один шлюз завязать?

dmitry042

Друзья, но ведь шлюз находится в одной подсети, и пк он видит.
Другой шлюз знает что надо отправлять пакеты до сервера pf который в подсети 4.0/24. Я просто логику не могу уловить.
и совершенно не понимаю что делать дальше в этой ситуации.

pigbrother

пк он видит
И отправляет пакеты им.
А ПК отправляют свои ответы:

1. Все, что не в локальную сеть - в шлюз по умолчанию.
2. Если им указан конкретный маршрут в другую сеть - в шлюз для этой сети.

A Former User

Читать теорию и статьи по маршрутизации и топологии сетей и как происходит прохождение пакета по сети. А тут задавать вопросы как это реализовать силами PF.

dmitry042

@pigbrother:

пк он видит
И отправляет пакеты им.
А ПК отправляют свои ответы:

1. Все, что не в локальную сеть - в шлюз по умолчанию.
2. Если им указан конкретный маршрут в другую сеть - в шлюз для этой сети.

2 страницы обсуждения, и ваш ответ мне помог, понял где затык, заранее спасибо!
Сейчас посижу подумаю как грамотнее описать маршруты, просто сеть сильно фрагменитрована, надо посидеть посмотреть предыдущие маршруты и какие то из них переписать.
В любом случае спасибо за ответ.

werter

2 dmitry042
Доброе.
Все же лучше свести все на один шлюз. Этим вы сильно облегчите себе жизнь.

dmitry042

@werter:

2 dmitry042
Доброе.
Все же лучше свести все на один шлюз. Этим вы сильно облегчите себе жизнь.

А я и свёл, просто когда маршрут забивал одну лишнюю цифру в консоль уронил, утро всё же, вчера полез смотреть обратные маршруты, и точно.
Навело на мысль посмотреть фраза
А ПК отправляют свои ответы:
Ещё раз прошу прощения за долгий флуд, бывает такое взгляд замылился чтоли.
Спасибо огромное всем за помощь!

DeadlyMIC

Отличная, наверное, инструкция, но, только вот, скрины не открываются. А жаль…

pigbrother

@DeadlyMIC:

Отличная, наверное, инструкция, но, только вот, скрины не открываются. А жаль…

Ув. @rubic переопубликовал скриншоты для инструкции для PSK.
Давайте попросим его, если скриншоты сохранились, сделать то же для PKI. В архивах\кэше сохраненной копии не нашел.

Igor Filth

Да, скрины бы очень не помешали.  ::)
В ближайшее время несколько серверов предстоит поднимать.
Боюсь, что по памяти пропущу где-нибудь галочку-другую и потом буду удивляться почему не работает.

rubic

приложил скриншоты

Oleg2017

Здравствуйте. Есть PFsense (192.168.1.1 сеть 192.168.1.0/24) к нему по ovpn подключены два Mikrotika 192.168.2.1 192.168.2.0/24 и 192.168.3.1 192.168.3.0/24. Они пингуются оба из сети 192.168.1.1, но друг друга пропинговать не могут.  Пытался добавлять iroute, нет результата. Подскажите возможно ли настроить маршрутизацию между ними  если mikrotik-и подключены к разным opvn серверам.

pigbrother

1. В Client Specific Overrides для каждого клиента Микротика добавьте(измените) директиву в Advanced.
Через IPv4 Local Network/s это сделать невозможно.
push route "192.168.х.0 255.255.255.0 xx.xx.xx.1"

где

192.168.х.0 255.255 - сеть за другим Микротиком
xx.xx.xx.1 - IP "серверного конца" OpenVPN-туннеля

Либо добавьте такой маршрут на каждом Микротике вручную.

2. На **OpenVPN-серверах может понадобиться **
добавить маршруты в сети за другими Микротиками, либо в IPv4 Local network(s) в виде 192.168.х.0/24 через запятую, либо route 192.168.х.0 255.255.255 в Advanced Configuration.

У меня Микротики подключены к одному серверу, поэтому в необходимости п.2 не уверен.

Oleg2017

Не подскажите как у вас настроено на одном сервере два микротика. У меня при этом пингуется только один  из сети за  pfsense-ом. Тот чья сеть указана  в  IPv4 Remote network(s) на сервере.

pigbrother

@Oleg2017:

Не подскажите как у вас настроено на одном сервере два микротика. У меня при этом пингуется только один (пингуется из сети за  pfsense-ом) . Тот чья сеть указана  в  IPv4 Remote network(s) на сервере.

Так сервер на то и сервер, чтоб обслуживать множество клиентов, не создавать же сервер для каждого.
То, что за клиентом - сеть, значения не имеет.

Сервер
В IPv4 Remote network(s) - обе сети за Микротиками через запятую -  a.a.a.a/24, b.b.b.b/24 (хотя я исторически использую вместо Pv4 Remote network(s) директиву route в advanced).

Сlient Specific Overrides
Обязательно для каждого клиента Микротика в IPv4 Remote Network/s - сеть за этим Микротиком в виде a.a.a.a/24, а в Advanced
push route "b.b.b.b 255.255.255.0 x.x.x.1"
где
b.b.b.b 255.255.255.0 - сеть за другим Микротиком
x.x.x.1 - IP "серверного конца" OVPN туннеля. Это - ключевой момент, без него маршрут в сеть за другим Микротиком не будет воспринят.

В IPv4 Local Network/s сети b.b.b.b быть не должно.

Для второго Микротика - по аналогии