Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    OVPN(rem.access)-Ovpn(peer to peer)схема

    Russian
    2
    5
    2886
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      Monarh last edited by

      Вот сбацал схемку простую.

      из нее видно, что пфсенс 0 и 1 соединены по ОВПН (peer to peer shared key).  Обе сети замечательно видят друг друга.
      Но есть еще и динамически клиенты всякие, которые подключаются к Пфсенс0  и работают в сети 192.168.10.х.  Однако им теперь нужны ресурсы и сети 192.168.1.х .
      Получаем, что на Пфсенс0 имеются 2 сервера ОВПН, один Peer to Peer (тоннель 10.10.11.х), другой Remote Access (тоннель 10.10.10.х).

      Как предоставить динамическому клиенту , который подключился через тоннель 10.10.10.х на Пфсенс0 доступ к сети 192.168.1.х ,через тоннель 10.10.11.х  ?????

      Приемлемым являются все схемы. Т.е. и установка сервера OVPN Rem.access на Пфсенс1 с последующим маршрутом на 192.168.10.х. И полное изменение схем ОВПН.

      Я пока придумал самую простую, поднять на разных портах ОВПН сервера для клиентов и запускать с клиента 2 овпн соединения. Но на мой взгляд это как-то не очень..

      1 Reply Last reply Reply Quote 0
      • werter
        werter last edited by

        Команда push "route 192.168.1.0 255.255.255.0"; в Advanced configuration - Advanced в настройках сервера для динамического клиента (Remote Access (тоннель 10.10.10.х)) и в конфиг. файле этого клиента(ов) команда pull должна присутствовать для принятия этого (и других) маршрута(ов).
        И ,ес-но, правила fw и NAT(?) прописать, внимательно выбирая в NAT-е Interface. В частности, для прохождения трафика из 10.10.10.х в сеть 192.168.1.х в кач-ве Interface в NAT на pfsense0 выбрать OpenVPN (Peer to Peer).  
        Могу ошибаться  8) Пробуйте.

        P.s. Адрес локальной сети у подключающегося динамического клиента ,я надеюсь, не 192.168.1.0/24 ?

        1 Reply Last reply Reply Quote 0
        • M
          Monarh last edited by

          P.s. Адрес локальной сети у подключающегося динамического клиента ,я надеюсь, не 192.168.1.0/24 ?

          Тут сложно сказать наверняка. Их много, около 50ти, с разных точек бывшего СССР. Так как это самая распространенная конфа сети, то запросто может и попасться такая.

          1 Reply Last reply Reply Quote 0
          • werter
            werter last edited by

            @Monarh:

            P.s. Адрес локальной сети у подключающегося динамического клиента ,я надеюсь, не 192.168.1.0/24 ?

            Тут сложно сказать наверняка. Их много, около 50ти, с разных точек бывшего СССР. Так как это самая распространенная конфа сети, то запросто может и попасться такая.

            Вы схемку-то мою вышеописанную проверьте :)

            P.s. А насчет "это самая распространенная конфа сети"  - попробуйте на сервере в настройках Advanced прописать push «redirect-gateway def1»; Это полностью "завернет" трафик клиента в OpenVPN-туннель. Но тогда клиентам и в инет прийдется (временно) или не ходить вообще, пока туннель поднят, или ходить в инет через Вас. И да , если у клиента Вин 7, то запускать опенвпн-коннект надо от имени Администратора.

            Описание директивы push «redirect-gateway def1» (http://www.ossg.ru/wiki/Admin/Настройка%20OpenVPN) :

            Изменение маршрута по умолчанию

            Есть возможность установить маршрут по умолчанию (default route) через созданный туннель OpenVPN. Для этого можно использовать директиву 'redirect-gateway', в т.ч. с автоматической передачей её клиенту через механизм push-pull. Однако при работе клиента под непривилегированным пользователем и в chroot-окружении возникают проблемы с восстановлением старого маршрута при закрытии соединения, т.к. клиенту не хватает прав внести изменения в таблицу маршрутизации. Для обхода этой ситуации следует использовать параметр 'def1' директивы 'redirect-gateway'. При этом на сервере в файле конфигурации (глобальном или конкретного клиента) переназначение маршрута задаётся строкой вида
             push "redirect-gateway def1"

            Получив эту директиву (при наличии 'pull' в своей конфигурации), клиент не удаляет старый маршрут, а добавляет в таблицу маршрутизации записи вида:
            0.0.0.0/1 via 192.168.231.5 dev tun0
            128.0.0.0/1 via 192.168.231.5 dev tun0

            Оригинальный маршрут по-умолчанию при этом не используется пока существует интерфейс tun0 канала.

            P.s.s. Пример одного из клиентских конфигов (Win 2003) с применением сертификатов. Маршруты прописаны локально , но у вас лучше пускай их сервер выдает :

            dev tun
            dev-node OpenVPN
            keepalive 5 10
            ping-timer-rem
            persist-tun
            persist-key
            proto udp
            cipher BF-CBC
            tls-client
            client
            script-security 2 system
            resolv-retry infinite
            remote xx.xx.xx.xx 1194
            float
            tls-remote MY-CERT
            pkcs12 pfsense2-udp-1194-rayon.p12
            tls-auth pfsense2-udp-1194-rayon-tls.key 1
            comp-lzo
            comp-noadapt
            ip-win32 netsh
            route-method exe
            route-delay 10
            route xx.xx.xx.xx 255.255.255.0 vpn_gateway
            route xx.xx.xx.xx 255.255.255.0 vpn_gateway
            pull
            verb 3

            1 Reply Last reply Reply Quote 0
            • M
              Monarh last edited by

              И да , если у клиента Вин 7, то запускать опенвпн-коннект надо от имени Администратора.    ;)   Эту штуку я сам докумекал, когда с этим столкнулся с пол года назад. ))) Спасибо.

              werter - спасибо за схему, я обязательно ее проверю на новой неделе и отпишусь.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post