WAN (DHCP 192.168.25.0/24) + OPENVPN (проброс DHCP c WAN в openvpn)



  • Здравствуйте, возникла проблема с настройкой pfsense.
    Физический интерфейс у машины с pfsense - 1 em0, на него приходит по DHCP сетка 192.168.25.0/24 шлюз 192.168.25.254, интернет работает через него же.
    Поднят OpenVPN сервер с такими вот настройками. (WAN переименован в CCNETWORK).

    Интерфейсы WAN(CCNETWORK) и OPT1 (openvpn) объединены в мост.
    С выключенным firewall клиенты Openvpn адреса по DHCP получают, но машины в сети 192.168.25.0/24 не пингуются, на вебморду шлюза (192.168.25.254) зайти не получается и не пингуется.
    Но хотелось бы оставить включенным Firewall c целью иметь возможность блокировать доступ по портам для клиентов openvpn.

    Примерная схема:

    Прошу помощи как настроить чтобы клиенты openvpn видели машины в сети подключенной в WAN, и оставить при этом включенный firewall.



  • Отключал firewall и nat, добавлял правило в настройке openvpn server route 192.168.25.0 255.255.255.0, клиенты openvpn по прежнему не видят машины за wan, не пингуют шлюз, хотя IP по DHCP успешно получают. Что-то я где то упускаю(

    WAN и OPENVPN интерфейсы объединены в BRIDGE и создан интерфейс BRIDGE_1, в нём установлено получение адреса по DHCP, получает 192.168.25.18, у интерфейсов WAN и OPENVPN установлено в "none".



  • А в чем смысл использования openVPN в такой схеме. OpenVPN применяется как  правило для установки соединения между компьютерами, находящимися за NAT-firewall, без необходимости изменения их настроек. Может в Вашем случае лучшн использовать PPPoE server –-  clients, и  клиентам другую сетку.



  • Зачем вам в вашей схеме OpenVPN ?!



  • Есть маршрутизатор - 192.168.25.254, на него приходит интернет, он же вещает DHCP, за NAT'ом уже расположен pfsense. На маршрутизаторе проброшен порт для подключения из инетренета к расположеному на pfsense openvpn серверу. Тоесть от pfsense не нужно ничего кроме как быть OpenVPN сервером и пускать клиентов во внутреннюю сеть. Ничего проще как забить все интерфейсы pfsense в мост и отключить на нём nat и firewall не придумал, но не работает.

    В данный момент всё настроено на обычном windows, реальный интерфейс и виртуальный TAP-Win32 Adapter объединены в мост, настроен openvpn сервер, клиенты подключаются, получают IP из сети 192.192.25.0/24 по DHCP от маршрутизатора и спокойно видят всю локалку.
    Но хочется настроить всё в pfsense на виртуалке.



  • Есть маршрутизатор - 192.168.25.254, на него приходит интернет, он же вещает DHCP, за NAT'ом уже расположен pfsense

    Этот маршрутизатор - пограничный Cisco\Juniper ? Он очччень важен и никак не может быть исключен из цепочки? Или же это - "мыльница" за 40 у.е.?

    Не хотите поиметь геморрой - убирайте своё "чудо" из цепочки и пускай всем заведует Pfsense.

    P.s. И да, если вам ну просто необходим Ви-Фи этого роутера - просто переведите его в режим простой ТД (если это возможно, конечно), отключите на нем DHCP и воткните кабель от pf в любой LAN-порт этого роутера.

    P.p.s.

    В данный момент всё настроено на обычном windows

    Зачем вам тогда пфсенс? OpenVPN и так прекрасно работает на Win.



  • Для моих задач нужно сделать именно так как я написал - pfsense в качестве openvpn сервера без всяких дополнительных заморочек. Роутер - mikrotik, который грузить openvpn сервером нет никакого желания, собственно на нём всё и работало в течении полугода, но по сложившимся обстоятельствам отдельная машина с openvpn предпочтительней.

    Если подскажете альтернативный способ поднять подобную схему с удобным созданием/импортом настроек openvpn клиента по типу pfsense и незначительным требованием к ресурсам - буду благодарен.

    P.s. Нужна помощь в настройке pfsense для работы именно в таком вот незамысловатом режиме, варианты с переделкой всей архитектуры сети под pfsense, это слишком. В общем давайте по существу)