OVPN(rem.access)-Ovpn(peer to peer)схема

Russian
Log in to reply
  • M

    Вот сбацал схемку простую.

    из нее видно, что пфсенс 0 и 1 соединены по ОВПН (peer to peer shared key).  Обе сети замечательно видят друг друга.
    Но есть еще и динамически клиенты всякие, которые подключаются к Пфсенс0  и работают в сети 192.168.10.х.  Однако им теперь нужны ресурсы и сети 192.168.1.х .
    Получаем, что на Пфсенс0 имеются 2 сервера ОВПН, один Peer to Peer (тоннель 10.10.11.х), другой Remote Access (тоннель 10.10.10.х).

    Как предоставить динамическому клиенту , который подключился через тоннель 10.10.10.х на Пфсенс0 доступ к сети 192.168.1.х ,через тоннель 10.10.11.х  ?????

    Приемлемым являются все схемы. Т.е. и установка сервера OVPN Rem.access на Пфсенс1 с последующим маршрутом на 192.168.10.х. И полное изменение схем ОВПН.

    Я пока придумал самую простую, поднять на разных портах ОВПН сервера для клиентов и запускать с клиента 2 овпн соединения. Но на мой взгляд это как-то не очень..

    0
  • werter

    Команда push "route 192.168.1.0 255.255.255.0"; в Advanced configuration - Advanced в настройках сервера для динамического клиента (Remote Access (тоннель 10.10.10.х)) и в конфиг. файле этого клиента(ов) команда pull должна присутствовать для принятия этого (и других) маршрута(ов).
    И ,ес-но, правила fw и NAT(?) прописать, внимательно выбирая в NAT-е Interface. В частности, для прохождения трафика из 10.10.10.х в сеть 192.168.1.х в кач-ве Interface в NAT на pfsense0 выбрать OpenVPN (Peer to Peer).  
    Могу ошибаться  8) Пробуйте.

    P.s. Адрес локальной сети у подключающегося динамического клиента ,я надеюсь, не 192.168.1.0/24 ?

    0
  • M

    P.s. Адрес локальной сети у подключающегося динамического клиента ,я надеюсь, не 192.168.1.0/24 ?

    Тут сложно сказать наверняка. Их много, около 50ти, с разных точек бывшего СССР. Так как это самая распространенная конфа сети, то запросто может и попасться такая.

    0
  • werter

    @Monarh:

    P.s. Адрес локальной сети у подключающегося динамического клиента ,я надеюсь, не 192.168.1.0/24 ?

    Тут сложно сказать наверняка. Их много, около 50ти, с разных точек бывшего СССР. Так как это самая распространенная конфа сети, то запросто может и попасться такая.

    Вы схемку-то мою вышеописанную проверьте :)

    P.s. А насчет "это самая распространенная конфа сети"  - попробуйте на сервере в настройках Advanced прописать push «redirect-gateway def1»; Это полностью "завернет" трафик клиента в OpenVPN-туннель. Но тогда клиентам и в инет прийдется (временно) или не ходить вообще, пока туннель поднят, или ходить в инет через Вас. И да , если у клиента Вин 7, то запускать опенвпн-коннект надо от имени Администратора.

    Описание директивы push «redirect-gateway def1» (http://www.ossg.ru/wiki/Admin/Настройка OpenVPN) :

    Изменение маршрута по умолчанию

    Есть возможность установить маршрут по умолчанию (default route) через созданный туннель OpenVPN. Для этого можно использовать директиву 'redirect-gateway', в т.ч. с автоматической передачей её клиенту через механизм push-pull. Однако при работе клиента под непривилегированным пользователем и в chroot-окружении возникают проблемы с восстановлением старого маршрута при закрытии соединения, т.к. клиенту не хватает прав внести изменения в таблицу маршрутизации. Для обхода этой ситуации следует использовать параметр 'def1' директивы 'redirect-gateway'. При этом на сервере в файле конфигурации (глобальном или конкретного клиента) переназначение маршрута задаётся строкой вида
     push "redirect-gateway def1"

    Получив эту директиву (при наличии 'pull' в своей конфигурации), клиент не удаляет старый маршрут, а добавляет в таблицу маршрутизации записи вида:
    0.0.0.0/1 via 192.168.231.5 dev tun0
    128.0.0.0/1 via 192.168.231.5 dev tun0

    Оригинальный маршрут по-умолчанию при этом не используется пока существует интерфейс tun0 канала.

    P.s.s. Пример одного из клиентских конфигов (Win 2003) с применением сертификатов. Маршруты прописаны локально , но у вас лучше пускай их сервер выдает :

    dev tun
    dev-node OpenVPN
    keepalive 5 10
    ping-timer-rem
    persist-tun
    persist-key
    proto udp
    cipher BF-CBC
    tls-client
    client
    script-security 2 system
    resolv-retry infinite
    remote xx.xx.xx.xx 1194
    float
    tls-remote MY-CERT
    pkcs12 pfsense2-udp-1194-rayon.p12
    tls-auth pfsense2-udp-1194-rayon-tls.key 1
    comp-lzo
    comp-noadapt
    ip-win32 netsh
    route-method exe
    route-delay 10
    route xx.xx.xx.xx 255.255.255.0 vpn_gateway
    route xx.xx.xx.xx 255.255.255.0 vpn_gateway
    pull
    verb 3

    0
  • M

    И да , если у клиента Вин 7, то запускать опенвпн-коннект надо от имени Администратора.    ;)   Эту штуку я сам докумекал, когда с этим столкнулся с пол года назад. ))) Спасибо.

    werter - спасибо за схему, я обязательно ее проверю на новой неделе и отпишусь.

    0

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

© 2020 Rubicon Communications, LLC | Privacy Policy