OVPN(rem.access)-Ovpn(peer to peer)схема
-
Вот сбацал схемку простую.
из нее видно, что пфсенс 0 и 1 соединены по ОВПН (peer to peer shared key). Обе сети замечательно видят друг друга.
Но есть еще и динамически клиенты всякие, которые подключаются к Пфсенс0 и работают в сети 192.168.10.х. Однако им теперь нужны ресурсы и сети 192.168.1.х .
Получаем, что на Пфсенс0 имеются 2 сервера ОВПН, один Peer to Peer (тоннель 10.10.11.х), другой Remote Access (тоннель 10.10.10.х).Как предоставить динамическому клиенту , который подключился через тоннель 10.10.10.х на Пфсенс0 доступ к сети 192.168.1.х ,через тоннель 10.10.11.х ?????
Приемлемым являются все схемы. Т.е. и установка сервера OVPN Rem.access на Пфсенс1 с последующим маршрутом на 192.168.10.х. И полное изменение схем ОВПН.
Я пока придумал самую простую, поднять на разных портах ОВПН сервера для клиентов и запускать с клиента 2 овпн соединения. Но на мой взгляд это как-то не очень..
-
Команда push "route 192.168.1.0 255.255.255.0"; в Advanced configuration - Advanced в настройках сервера для динамического клиента (Remote Access (тоннель 10.10.10.х)) и в конфиг. файле этого клиента(ов) команда pull должна присутствовать для принятия этого (и других) маршрута(ов).
И ,ес-но, правила fw и NAT(?) прописать, внимательно выбирая в NAT-е Interface. В частности, для прохождения трафика из 10.10.10.х в сеть 192.168.1.х в кач-ве Interface в NAT на pfsense0 выбрать OpenVPN (Peer to Peer).
Могу ошибаться 8) Пробуйте.P.s. Адрес локальной сети у подключающегося динамического клиента ,я надеюсь, не 192.168.1.0/24 ?
-
P.s. Адрес локальной сети у подключающегося динамического клиента ,я надеюсь, не 192.168.1.0/24 ?
Тут сложно сказать наверняка. Их много, около 50ти, с разных точек бывшего СССР. Так как это самая распространенная конфа сети, то запросто может и попасться такая.
-
P.s. Адрес локальной сети у подключающегося динамического клиента ,я надеюсь, не 192.168.1.0/24 ?
Тут сложно сказать наверняка. Их много, около 50ти, с разных точек бывшего СССР. Так как это самая распространенная конфа сети, то запросто может и попасться такая.
Вы схемку-то мою вышеописанную проверьте :)
P.s. А насчет "это самая распространенная конфа сети" - попробуйте на сервере в настройках Advanced прописать push «redirect-gateway def1»; Это полностью "завернет" трафик клиента в OpenVPN-туннель. Но тогда клиентам и в инет прийдется (временно) или не ходить вообще, пока туннель поднят, или ходить в инет через Вас. И да , если у клиента Вин 7, то запускать опенвпн-коннект надо от имени Администратора.
Описание директивы push «redirect-gateway def1» (http://www.ossg.ru/wiki/Admin/Настройка%20OpenVPN) :
Изменение маршрута по умолчанию
Есть возможность установить маршрут по умолчанию (default route) через созданный туннель OpenVPN. Для этого можно использовать директиву 'redirect-gateway', в т.ч. с автоматической передачей её клиенту через механизм push-pull. Однако при работе клиента под непривилегированным пользователем и в chroot-окружении возникают проблемы с восстановлением старого маршрута при закрытии соединения, т.к. клиенту не хватает прав внести изменения в таблицу маршрутизации. Для обхода этой ситуации следует использовать параметр 'def1' директивы 'redirect-gateway'. При этом на сервере в файле конфигурации (глобальном или конкретного клиента) переназначение маршрута задаётся строкой вида
push "redirect-gateway def1"Получив эту директиву (при наличии 'pull' в своей конфигурации), клиент не удаляет старый маршрут, а добавляет в таблицу маршрутизации записи вида:
0.0.0.0/1 via 192.168.231.5 dev tun0
128.0.0.0/1 via 192.168.231.5 dev tun0Оригинальный маршрут по-умолчанию при этом не используется пока существует интерфейс tun0 канала.
P.s.s. Пример одного из клиентских конфигов (Win 2003) с применением сертификатов. Маршруты прописаны локально , но у вас лучше пускай их сервер выдает :
dev tun
dev-node OpenVPN
keepalive 5 10
ping-timer-rem
persist-tun
persist-key
proto udp
cipher BF-CBC
tls-client
client
script-security 2 system
resolv-retry infinite
remote xx.xx.xx.xx 1194
float
tls-remote MY-CERT
pkcs12 pfsense2-udp-1194-rayon.p12
tls-auth pfsense2-udp-1194-rayon-tls.key 1
comp-lzo
comp-noadapt
ip-win32 netsh
route-method exe
route-delay 10
route xx.xx.xx.xx 255.255.255.0 vpn_gateway
route xx.xx.xx.xx 255.255.255.0 vpn_gateway
pull
verb 3 -
И да , если у клиента Вин 7, то запускать опенвпн-коннект надо от имени Администратора. ;) Эту штуку я сам докумекал, когда с этим столкнулся с пол года назад. ))) Спасибо.
werter - спасибо за схему, я обязательно ее проверю на новой неделе и отпишусь.