OVPN(rem.access)-Ovpn(peer to peer)схема



  • Вот сбацал схемку простую.

    из нее видно, что пфсенс 0 и 1 соединены по ОВПН (peer to peer shared key).  Обе сети замечательно видят друг друга.
    Но есть еще и динамически клиенты всякие, которые подключаются к Пфсенс0  и работают в сети 192.168.10.х.  Однако им теперь нужны ресурсы и сети 192.168.1.х .
    Получаем, что на Пфсенс0 имеются 2 сервера ОВПН, один Peer to Peer (тоннель 10.10.11.х), другой Remote Access (тоннель 10.10.10.х).

    Как предоставить динамическому клиенту , который подключился через тоннель 10.10.10.х на Пфсенс0 доступ к сети 192.168.1.х ,через тоннель 10.10.11.х  ?????

    Приемлемым являются все схемы. Т.е. и установка сервера OVPN Rem.access на Пфсенс1 с последующим маршрутом на 192.168.10.х. И полное изменение схем ОВПН.

    Я пока придумал самую простую, поднять на разных портах ОВПН сервера для клиентов и запускать с клиента 2 овпн соединения. Но на мой взгляд это как-то не очень..



  • Команда push "route 192.168.1.0 255.255.255.0"; в Advanced configuration - Advanced в настройках сервера для динамического клиента (Remote Access (тоннель 10.10.10.х)) и в конфиг. файле этого клиента(ов) команда pull должна присутствовать для принятия этого (и других) маршрута(ов).
    И ,ес-но, правила fw и NAT(?) прописать, внимательно выбирая в NAT-е Interface. В частности, для прохождения трафика из 10.10.10.х в сеть 192.168.1.х в кач-ве Interface в NAT на pfsense0 выбрать OpenVPN (Peer to Peer).  
    Могу ошибаться  8) Пробуйте.

    P.s. Адрес локальной сети у подключающегося динамического клиента ,я надеюсь, не 192.168.1.0/24 ?



  • P.s. Адрес локальной сети у подключающегося динамического клиента ,я надеюсь, не 192.168.1.0/24 ?

    Тут сложно сказать наверняка. Их много, около 50ти, с разных точек бывшего СССР. Так как это самая распространенная конфа сети, то запросто может и попасться такая.



  • @Monarh:

    P.s. Адрес локальной сети у подключающегося динамического клиента ,я надеюсь, не 192.168.1.0/24 ?

    Тут сложно сказать наверняка. Их много, около 50ти, с разных точек бывшего СССР. Так как это самая распространенная конфа сети, то запросто может и попасться такая.

    Вы схемку-то мою вышеописанную проверьте :)

    P.s. А насчет "это самая распространенная конфа сети"  - попробуйте на сервере в настройках Advanced прописать push «redirect-gateway def1»; Это полностью "завернет" трафик клиента в OpenVPN-туннель. Но тогда клиентам и в инет прийдется (временно) или не ходить вообще, пока туннель поднят, или ходить в инет через Вас. И да , если у клиента Вин 7, то запускать опенвпн-коннект надо от имени Администратора.

    Описание директивы push «redirect-gateway def1» (http://www.ossg.ru/wiki/Admin/Настройка OpenVPN) :

    Изменение маршрута по умолчанию

    Есть возможность установить маршрут по умолчанию (default route) через созданный туннель OpenVPN. Для этого можно использовать директиву 'redirect-gateway', в т.ч. с автоматической передачей её клиенту через механизм push-pull. Однако при работе клиента под непривилегированным пользователем и в chroot-окружении возникают проблемы с восстановлением старого маршрута при закрытии соединения, т.к. клиенту не хватает прав внести изменения в таблицу маршрутизации. Для обхода этой ситуации следует использовать параметр 'def1' директивы 'redirect-gateway'. При этом на сервере в файле конфигурации (глобальном или конкретного клиента) переназначение маршрута задаётся строкой вида
     push "redirect-gateway def1"

    Получив эту директиву (при наличии 'pull' в своей конфигурации), клиент не удаляет старый маршрут, а добавляет в таблицу маршрутизации записи вида:
    0.0.0.0/1 via 192.168.231.5 dev tun0
    128.0.0.0/1 via 192.168.231.5 dev tun0

    Оригинальный маршрут по-умолчанию при этом не используется пока существует интерфейс tun0 канала.

    P.s.s. Пример одного из клиентских конфигов (Win 2003) с применением сертификатов. Маршруты прописаны локально , но у вас лучше пускай их сервер выдает :

    dev tun
    dev-node OpenVPN
    keepalive 5 10
    ping-timer-rem
    persist-tun
    persist-key
    proto udp
    cipher BF-CBC
    tls-client
    client
    script-security 2 system
    resolv-retry infinite
    remote xx.xx.xx.xx 1194
    float
    tls-remote MY-CERT
    pkcs12 pfsense2-udp-1194-rayon.p12
    tls-auth pfsense2-udp-1194-rayon-tls.key 1
    comp-lzo
    comp-noadapt
    ip-win32 netsh
    route-method exe
    route-delay 10
    route xx.xx.xx.xx 255.255.255.0 vpn_gateway
    route xx.xx.xx.xx 255.255.255.0 vpn_gateway
    pull
    verb 3



  • И да , если у клиента Вин 7, то запускать опенвпн-коннект надо от имени Администратора.    ;)   Эту штуку я сам докумекал, когда с этим столкнулся с пол года назад. ))) Спасибо.

    werter - спасибо за схему, я обязательно ее проверю на новой неделе и отпишусь.


Locked