Ошибка при создании OvenVpn тоннеля
-
Не могу разобраться, помогите…
Создаю Site-To-Site PKI. По инструкции http://blog.stefcho.eu/?p=611 Все проверил 1000 раз уже.
Соединение создается. С клиента доступна локальная сеть сервера. А вот с сервера можно достучаться до vpn адреса pfsense клиентской сети и даже до его локального адреса.
Но другие компьютеры локальной сети клиента недоступны. В client overrides прописано iroute 192.168.1.0 255.255.255.0
И по-моему эта директива и приводит к ошибке при установлении vpn соединения.Dec 3 14:07:09 openvpn[3467]: /sbin/ifconfig ovpnc2 192.168.200.2 192.168.200.1 mtu 1500 netmask 255.255.255.255 up
Dec 3 14:07:09 openvpn[3467]: /usr/local/sbin/ovpn-linkup ovpnc2 1500 1542 192.168.200.2 192.168.200.1 init
Dec 3 14:07:09 openvpn[3467]: ERROR: FreeBSD route add command failed: external program exited with error status: 1
Dec 3 14:07:09 openvpn[3467]: Initialization Sequence CompletedКак с этим побороться не понимаю. И не понимаю какая команда route не может быть выполнена. Подскажите, я вручную хотя бы попробую…
локальная сеть сервера 192.168.0.0
локальная сеть клиента 192.168.1.0
vpn тоннель 192.168.200.0
vpn сервер 192.168.200.1 192.168.0.1
vpn клиент 192.168.200.2 192.168.1.2Роутинг на сервере :
Destination Gateway Flags Refs Use Mtu Netif Expire
default 80.70.227.1 UGS 0 8107585 1500 xl0
80.70.227.0/24 link#1 U 0 344917 1500 xl0
80.70.227.56 link#1 UHS 0 0 16384 lo0
127.0.0.1 link#6 UH 0 143 16384 lo0
192.168.0.0/24 link#2 U 0 10300323 1500 fxp0
192.168.0.1 link#2 UHS 0 0 16384 lo0
192.168.1.0/24 192.168.200.2 UGS 0 2404 1500 ovpns2
192.168.200.0/24 192.168.200.2 UGS 0 0 1500 ovpns2
192.168.200.1 link#8 UHS 0 0 16384 lo0
192.168.200.2 link#8 UH 0 29126 1500 ovpns2Клиент к интернету подключен следующим образом:
4G модем воткнут в аппаратный роутер 192.168.10.1, а к нему подключен pfsense 192.168.10.2, 192.168.1.2
Роутинг на клиенте :
Destination Gateway Flags Refs Use Mtu Netif Expire
default 192.168.10.1 UGS 0 14896 1500 xl0
127.0.0.1 link#5 UH 0 35 16384 lo0
192.168.0.0/24 192.168.200.1 UGS 0 3447 1500 ovpnc2
192.168.1.0/24 link#1 U 0 9563 1500 rl0
192.168.1.2 link#1 UHS 0 0 16384 lo0
192.168.10.0/24 link#2 U 0 9785 1500 xl0
192.168.10.2 link#2 UHS 0 0 16384 lo0
192.168.200.1 link#7 UH 0 0 1500 ovpnc2 =>
192.168.200.1/32 192.168.200.1 UGS 0 0 1500 ovpnc2
192.168.200.2 link#7 UHS 0 0 16384 lo0В fw ворде все разрешил, как указано в инструкции.
-
Насколько я понимаю, не прописался лишь маршрут. Сам коннект живой. Пинги есть? Концы туннеля пингуются?
-
да , концы тоннеля пингуются в обе стороны. С клиента пингуется ЛС сервера полностью, с сервера пингуется только pfsense vpn client по vpn адресу 192.168.200.2 и по адресу ЛС 192.168.1.2
-
Удалите настройки OpenVPN полностью с клиента и сервера и попробуйте настроить, если у вас всего один клиент, более простой вариант (Shared Key).
-
Не пойдет. Хочу потом извне с ноутбука подключаться через vpn к серверу и администрировать обе сети. Да и появление филиалов в дальнейшем планируется.
-
Тогда пересоздайте теперешнее и на клиенте и на сервере. И пока не указывайте ничего во влкадке client overrides на сервере (я надеюсь , вы параметры указывали на сервере?)
Поднимется без ошибок - крутите client overrides. Нужно узнать на каком этапе и при каких настройках появляется ошибка. -
К клиенту имею доступ по vpn. Там выход в и-нет через "серый" IP. Так что там переустановить не могу. Удалил client overrides. Ошибка осталась… PfSense в клиентской сети стал доступен только по vpn адресу. Раньше и по локальному (192.168.1.2) пинговался... Похоже не в iroute дело. Эх, не хочется туда ехать, забирать роутер и везти в главный офис. Может отсюда удастся разобраться...
-
Там выход в и-нет через "серый" IP
А эта серая подсеть не совпадает ни с одной вашей использующейся в опевпн?
-
да , концы тоннеля пингуются в обе стороны. С клиента пингуется ЛС сервера полностью, с сервера пингуется только pfsense vpn client по vpn адресу 192.168.200.2 и по адресу ЛС 192.168.1.2
А вы в FW на интерфейсе разрешили входящие? Маршрут на сервере в сторону клиентской сети есть, значит должно работать, т.е. клиентская лс должна пинговаться.
У меня был аналогичный прикол: забыл разрешить входящие и мучился с "проблемой" 30мин :) В итоге единое адр. пространство (L2 bridging) для N сетей в разных местах, красота! :)
-
Все, вопрос снят. Сам дурак… В FW то как раз все разрешено. А вот на клиентской стороне, на машине, которую я с сервера пинговал (ведь именно ее же и выбрал по закону подлости :)) был шлюз не тот указан...