Site to Site OpenVPN Briging + roadwarrior vpn routing.



  • Доброго времени суток!

    Имеется территориально разделенная на 2 сегмента сеть (192.168.100.0/24 ). В качестве шлюзов используется pfsense 2.1, в котором сделан мост поверх openvpn. Все работает: пинги идут, сетевое обнаружение работает…
    (LAN1 192.168.100.0/24 ) <=
    => [ PF1 (Lan:192.168.100.254;) ] <=site-to-site ovpn (tap) => [PF2 (Lan:192.168.100.1)] <=
    => (LAN2 192.168.100.0/24)

    Понадобилось организовать доступ к сети удаленных пользователей. Через мастера в pfsense создал openvpn соединение, но пользователь имеет доступ только к тому сегменту, к которому он подключился… В сети нарыл инструкцию по аналогичной проблеме в случае когда используется  "обычный" openvpn (tun) (http://blog.stefcho.eu/?p=733).
    Но т.к. у меня одна и та же сеть то не понятно как правильно прописать маршруты для того чтобы были доступны оба сегмента?
    User1<==> PF2 <=> LAN2
    User1<==> PF2 X LAN1
    или же
    User1<==> PF1 <=> LAN1
    User1<==> PF1 X LAN2

    С уважением.

    P.S. написал сильно сумбурно, если нужны какие доп. сведения спрашивайте...



  • [PF2 (Lan:192.168.[b]100.1)] <=
    => (LAN2 192.168.0/24)

    Как это?! Не вижу сегментации.

    Понадобилось организовать доступ к сети удаленных пользователей.

    Какие адреса при этом вы выдаете клиентам? Какой тип подключения - tun \ tap ?

    Вобщем рисуйте нормальную схему. Описано и правда более чем сумбурно.

    P.s. Правильно заданный вопрос - 50% ответа.



  • @werter:

    [PF2 (Lan:192.168.[b]100.1)] <=
    => (LAN2 192.168.0/24)

    Как это?! Не вижу сегментации.

    действительно, моя ошибка должно быть (LAN2 192.168.100.0/24).

    При подключении клиентов: протокол tun, сеть 192.168.200.0/24.
    см. screenshot:
    .
    Настройки сервера:

    в поле Advanced пусто…

    вот изобразил схему в графике...

    С уважением.



  • @LittleGreenMan:

    [ PF1 (Lan:192.168.[b]100.254;)
    [PF2 (Lan:192.168.[b]100.1)]
    (LAN2 192.168.100.0/24)

    Имхо
    Подсети должны быть разные.



  • Солидарен с dr.gopher.
    Или меняйте адресацию на другую подсеть на одном из концов туннеля или сегментируйте 100-ую сеть.




  • Спасибо.

    Правда до pfsense на машинах стоял zeroshell, так там при создании аналогичной конфигурации все работало и без разбиения… Надо было посмотреть конфигурацию  :( .

    С уважением.


Log in to reply