Ошибка при создании OvenVpn тоннеля



  • Не могу разобраться, помогите…

    Создаю Site-To-Site PKI. По инструкции http://blog.stefcho.eu/?p=611 Все проверил 1000 раз уже.
    Соединение создается. С клиента  доступна локальная сеть сервера. А вот с сервера можно достучаться до vpn адреса pfsense клиентской сети и даже до его  локального  адреса.
    Но другие компьютеры локальной сети клиента недоступны. В client overrides прописано iroute 192.168.1.0 255.255.255.0
    И по-моему эта директива и приводит к ошибке при установлении vpn соединения.

    Dec 3 14:07:09 openvpn[3467]: /sbin/ifconfig ovpnc2 192.168.200.2 192.168.200.1 mtu 1500 netmask 255.255.255.255 up
    Dec 3 14:07:09 openvpn[3467]: /usr/local/sbin/ovpn-linkup ovpnc2 1500 1542 192.168.200.2 192.168.200.1 init
    Dec 3 14:07:09 openvpn[3467]: ERROR: FreeBSD route add command failed: external program exited with error status: 1
    Dec 3 14:07:09 openvpn[3467]: Initialization Sequence Completed

    Как с этим побороться не понимаю. И не понимаю какая команда route не может быть выполнена. Подскажите, я вручную хотя бы попробую…

    локальная сеть сервера 192.168.0.0
    локальная сеть клиента 192.168.1.0
    vpn тоннель 192.168.200.0
    vpn сервер 192.168.200.1 192.168.0.1
    vpn клиент 192.168.200.2 192.168.1.2

    Роутинг на сервере :

    Destination Gateway Flags Refs Use Mtu Netif Expire
    default 80.70.227.1 UGS 0 8107585 1500 xl0
    80.70.227.0/24 link#1 U 0 344917 1500 xl0
    80.70.227.56 link#1 UHS 0 0 16384 lo0
    127.0.0.1 link#6 UH 0 143 16384 lo0
    192.168.0.0/24 link#2 U 0 10300323 1500 fxp0
    192.168.0.1 link#2 UHS 0 0 16384 lo0
    192.168.1.0/24 192.168.200.2 UGS 0 2404 1500 ovpns2
    192.168.200.0/24 192.168.200.2 UGS 0 0 1500 ovpns2
    192.168.200.1 link#8 UHS 0 0 16384 lo0
    192.168.200.2 link#8 UH 0 29126 1500 ovpns2

    Клиент к интернету подключен следующим образом:

    4G модем воткнут в аппаратный роутер 192.168.10.1, а к нему подключен pfsense 192.168.10.2, 192.168.1.2

    Роутинг на клиенте :

    Destination Gateway Flags Refs Use Mtu Netif Expire
    default 192.168.10.1 UGS 0 14896 1500 xl0
    127.0.0.1 link#5 UH 0 35 16384 lo0
    192.168.0.0/24 192.168.200.1 UGS 0 3447 1500 ovpnc2
    192.168.1.0/24 link#1 U 0 9563 1500 rl0
    192.168.1.2 link#1 UHS 0 0 16384 lo0
    192.168.10.0/24 link#2 U 0 9785 1500 xl0
    192.168.10.2 link#2 UHS 0 0 16384 lo0
    192.168.200.1 link#7 UH 0 0 1500 ovpnc2 =>
    192.168.200.1/32 192.168.200.1 UGS 0 0 1500 ovpnc2
    192.168.200.2 link#7 UHS 0 0 16384 lo0

    В fw ворде все разрешил, как указано в инструкции.



  • Насколько я понимаю, не прописался лишь маршрут. Сам коннект живой.  Пинги есть? Концы туннеля пингуются?



  • да , концы тоннеля пингуются в обе стороны. С клиента пингуется ЛС сервера полностью, с сервера пингуется только pfsense vpn client по vpn адресу 192.168.200.2  и по адресу ЛС 192.168.1.2



  • Удалите настройки OpenVPN полностью с клиента и сервера и попробуйте настроить, если у вас всего один клиент, более простой вариант (Shared Key).



  • Не пойдет. Хочу потом извне с ноутбука подключаться через vpn к серверу и администрировать обе сети. Да и появление филиалов в дальнейшем планируется.



  • Тогда пересоздайте теперешнее и на клиенте и на сервере. И пока не указывайте ничего во влкадке client overrides на сервере (я надеюсь , вы параметры указывали на сервере?)
    Поднимется без ошибок - крутите client overrides. Нужно узнать на каком этапе и при каких настройках появляется ошибка.



  • К клиенту имею доступ по vpn. Там выход в и-нет через "серый" IP.  Так что там переустановить не могу. Удалил client overrides. Ошибка осталась… PfSense в клиентской сети стал доступен только по vpn адресу. Раньше и по локальному (192.168.1.2) пинговался... Похоже не в iroute дело. Эх, не хочется туда ехать, забирать роутер и везти в главный офис. Может отсюда удастся разобраться...



  • Там выход в и-нет через "серый" IP

    А эта серая подсеть не совпадает ни с одной вашей использующейся в опевпн?



  • @m-gleb:

    да , концы тоннеля пингуются в обе стороны. С клиента пингуется ЛС сервера полностью, с сервера пингуется только pfsense vpn client по vpn адресу 192.168.200.2  и по адресу ЛС 192.168.1.2

    А вы в FW на интерфейсе разрешили входящие? Маршрут на сервере в сторону клиентской сети есть, значит должно работать, т.е. клиентская лс должна пинговаться.

    У меня был аналогичный прикол: забыл разрешить входящие и мучился с "проблемой" 30мин :) В итоге единое адр. пространство (L2 bridging) для N сетей в разных местах, красота! :)



  • Все, вопрос снят. Сам дурак… В FW то как раз все разрешено. А вот на клиентской стороне, на машине, которую я с сервера пинговал (ведь именно ее же и выбрал по закону подлости  :)) был шлюз не тот указан...