WAN (DHCP 192.168.25.0/24) + OPENVPN (проброс DHCP c WAN в openvpn)
-
Здравствуйте, возникла проблема с настройкой pfsense.
Физический интерфейс у машины с pfsense - 1 em0, на него приходит по DHCP сетка 192.168.25.0/24 шлюз 192.168.25.254, интернет работает через него же.
Поднят OpenVPN сервер с такими вот настройками. (WAN переименован в CCNETWORK).
Интерфейсы WAN(CCNETWORK) и OPT1 (openvpn) объединены в мост.
С выключенным firewall клиенты Openvpn адреса по DHCP получают, но машины в сети 192.168.25.0/24 не пингуются, на вебморду шлюза (192.168.25.254) зайти не получается и не пингуется.
Но хотелось бы оставить включенным Firewall c целью иметь возможность блокировать доступ по портам для клиентов openvpn.Примерная схема:
Прошу помощи как настроить чтобы клиенты openvpn видели машины в сети подключенной в WAN, и оставить при этом включенный firewall.
-
Отключал firewall и nat, добавлял правило в настройке openvpn server route 192.168.25.0 255.255.255.0, клиенты openvpn по прежнему не видят машины за wan, не пингуют шлюз, хотя IP по DHCP успешно получают. Что-то я где то упускаю(
WAN и OPENVPN интерфейсы объединены в BRIDGE и создан интерфейс BRIDGE_1, в нём установлено получение адреса по DHCP, получает 192.168.25.18, у интерфейсов WAN и OPENVPN установлено в "none".
-
А в чем смысл использования openVPN в такой схеме. OpenVPN применяется как правило для установки соединения между компьютерами, находящимися за NAT-firewall, без необходимости изменения их настроек. Может в Вашем случае лучшн использовать PPPoE server –- clients, и клиентам другую сетку.
-
Зачем вам в вашей схеме OpenVPN ?!
-
Есть маршрутизатор - 192.168.25.254, на него приходит интернет, он же вещает DHCP, за NAT'ом уже расположен pfsense. На маршрутизаторе проброшен порт для подключения из инетренета к расположеному на pfsense openvpn серверу. Тоесть от pfsense не нужно ничего кроме как быть OpenVPN сервером и пускать клиентов во внутреннюю сеть. Ничего проще как забить все интерфейсы pfsense в мост и отключить на нём nat и firewall не придумал, но не работает.
В данный момент всё настроено на обычном windows, реальный интерфейс и виртуальный TAP-Win32 Adapter объединены в мост, настроен openvpn сервер, клиенты подключаются, получают IP из сети 192.192.25.0/24 по DHCP от маршрутизатора и спокойно видят всю локалку.
Но хочется настроить всё в pfsense на виртуалке. -
Есть маршрутизатор - 192.168.25.254, на него приходит интернет, он же вещает DHCP, за NAT'ом уже расположен pfsense
Этот маршрутизатор - пограничный Cisco\Juniper ? Он очччень важен и никак не может быть исключен из цепочки? Или же это - "мыльница" за 40 у.е.?
Не хотите поиметь геморрой - убирайте своё "чудо" из цепочки и пускай всем заведует Pfsense.
P.s. И да, если вам ну просто необходим Ви-Фи этого роутера - просто переведите его в режим простой ТД (если это возможно, конечно), отключите на нем DHCP и воткните кабель от pf в любой LAN-порт этого роутера.
P.p.s.
В данный момент всё настроено на обычном windows
Зачем вам тогда пфсенс? OpenVPN и так прекрасно работает на Win.
-
Для моих задач нужно сделать именно так как я написал - pfsense в качестве openvpn сервера без всяких дополнительных заморочек. Роутер - mikrotik, который грузить openvpn сервером нет никакого желания, собственно на нём всё и работало в течении полугода, но по сложившимся обстоятельствам отдельная машина с openvpn предпочтительней.
Если подскажете альтернативный способ поднять подобную схему с удобным созданием/импортом настроек openvpn клиента по типу pfsense и незначительным требованием к ресурсам - буду благодарен.
P.s. Нужна помощь в настройке pfsense для работы именно в таком вот незамысловатом режиме, варианты с переделкой всей архитектуры сети под pfsense, это слишком. В общем давайте по существу)