OPENVPN объединить две сети

AlexS

Здравствуйте!
У меня в качестве шлюза pfsense 2.1.
На нем поднят openvpn сервер .
Адреса в локалке 10.7.11.0/24.

у другого провайдера стоит router openowrt,  на котором поднимается openvpn клиент panino.
Адреса локалки за router 10.7.13.0/24.
Соединение происходит нормально, однако доступа из локальной сети 10.7.11.0 в 10.7.13.0 отстутсвует.
Помогите пожалуйста настроить. Конфиги ниже.
Routing tables

Destination Gateway Flags Refs Use Mtu Netif Expire
0.0.0.0/24 link#1 U 0 0 1500 fxp0 =>
default 192.168.2.1 UGS 0 96892 1492 fxp0
10.0.0.1 link#26 UH 0 0 1492 pptp0
10.0.4.32 link#26 UHS 0 0 16384 lo0
10.1.4.0/24 link#3 U 0 2717536 1500 vr0
10.1.4.226 link#3 UHS 0 0 16384 lo0
10.7.11.0/24 link#2 U 0 123013983 1500 rl0
10.7.11.1 link#2 UHS 0 0 16384 lo0
10.7.12.0/24 10.7.12.2 UGS 0 5989 1500 ovpns1
10.7.12.1 link#10 UHS 0 0 16384 lo0
10.7.12.2 link#10 UH 0 4 1500 ovpns1
10.7.13.0/24 10.7.12.2 UGS 0 19 1500 ovpns1

Firewall: Rules

OpenVPN
ID Proto  Source Port Destination Port Gateway Queue Schedule Description

• • • • • • none   OpenVPN wizard

сервер

dev ovpns1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher BF-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 192.168.2.101
tls-server
server 10.7.12.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc
username-as-common-name
auth-user-pass-verify /var/etc/openvpn/server1.php via-env
tls-verify /var/etc/openvpn/server1.tls-verify.php
lport 5861
management /var/etc/openvpn/server1.sock unix
max-clients 20
push "route 10.7.11.0 255.255.255.0"
client-to-client
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /etc/dh-parameters.1024
tls-auth /var/etc/openvpn/server1.tls-auth 0
comp-lzo
persist-remote-ip
float
route 10.7.13.0 255.255.255.0

ccd panino

iroute 10.7.13.0 255.255.255.0
ifconfig-push 10.7.11.0 255.255.255.0

конфиг роутера  panino

dev tun
persist-tun
persist-key
proto udp
cipher BF-CBC
tls-client
client
resolv-retry infinite
remote x.x.x.x 5861
pull
route 10.7.11.0 255.255.255.0
tls-remote server sertif
auth-user-pass
ca [inline]
cert [inline]
key [inline]
tls-auth [inline] 1
comp-lzo

werter

Routing tables
…..
10.7.13.0/24    10.7.12.2    UGS    0    19    1500    ovpns1

Маршрут из сети сервера в сеть клиента есть.

ccd panino
iroute 10.7.13.0 255.255.255.0
ifconfig-push 10.7.11.0 255.255.255.0

В конфиге на пф во вкладке Client Specific Overrides в Common name правильно значение указано?
Подсказка :

NOTE: Common Name should be the same as specified in the clients certificate:

If you have forgotten this name go to System\Cert Manager\Certificates and check the value of the CN for your VPN user

Там же ниже в Advanced должно быть  :

iroute 10.7.13.0 255.255.255.0**;**

Именно с ;

И что там делает ifconfig-push 10.7.11.0 255.255.255.0 ?! Уберите!
Ибо написано неверно - это задание static ip для подключающегося клиента. И что вы ему выдаете???

P.s. Для понимания - http://fastinetserver.wordpress.com/2013/03/09/pfsense-openvpn-static-ip-for-clients/

AlexS

Спасибо!

Теперь у меня вопрос на стороне openowrt. Не пускает в локалку, будем разбираться

werter

Разбирайтесь с NAT-ом на OpenWRT

P.s. Что-то типа - https://toster.ru/q/65028

AlexS

Настроил нат на openwrt.
СейчАс с сервера openvpn  пингует локалку за клиентом, т.е. 10.7.13.0.
Однако из локалки 10.7.11.0 пинги в 10.7.13.0. не ходят

werter

Таблицу маршрутов на Openwrt смотрите.

AlexS

строчки
iptables -t nat -A POSTROUTING -o tun+ -j MASQUERADE
etc.rc.local
недостаточно?

route -n
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0             x.x.x.x              0.0.0.0         UG    0      0        0 eth0.2
10.7.11.0       10.7.12.5       255.255.255.0   UG    0      0        0 tun0
10.7.12.0       10.7.12.5       255.255.255.0   UG    0      0        0 tun0
10.7.12.5       0.0.0.0         255.255.255.255 UH    0      0        0 tun0
10.7.13.0       0.0.0.0         255.255.255.0   U     0      0        0 br-lan
x.x.x.x           0.0.0.0         255.255.255.0   U     0      0        0 eth0.2

AlexS

werterZ я прописал, то что вы указывали в другой теме на openwrt.

Сервер pfsense с ip 10.7.11.1, является сервером openvpn. На  данный момент с него пингуются адреса из локалки за openwrt клиентом(10.7.13.х).
Я с компьютера из локалки c ip 10.7.11.5, не могу достучаться до 10.7.13.х

traceroute to 10.7.13.4 (10.7.13.4), 30 hops max, 60 byte packets
1  192.168.2.1 (192.168.2.1)  1.671 ms  1.628 ms  1.981 ms
2  192.168.1.1 (192.168.1.1)  4.501 ms  4.507 ms  4.452 ms

Почему pfserver направляет  пакеты в 192.168.2.1?

Правила в firewall


werter

Рисуйте подробную схему ваших сетей.

AlexS

При этом openvpn адрес  openwrt шлюза с моего компа (10.7.11.5) пингуется
shor@shor-GX60:~$ traceroute 10.7.12.6
traceroute to 10.7.12.6 (10.7.12.6), 30 hops max, 60 byte packets
1  10.7.11.1 (10.7.11.1)  1.551 ms  2.200 ms  2.515 ms
2  10.7.12.6 (10.7.12.6)  228.793 ms  231.124 ms  231.167 ms


werter

Скрины вкладок OpenVPN сервера и Client можно?

AlexS

3 скрина


AlexS

client


werter

На первом скрине сверху в Advanced в директиве route в конце нет точки с запятой в конце. Может это и не существенно
всего лишь для одной команды, но все же есть синтаксис и надо его придерживаться.

Далее , вы уверены , что Common Name в Client Specific Overrides указано верно? Скрин System: Certificate Manager : Certificates покажите.

AlexS

Пожалуйста
Также скрин где видно, какой клиент подключился


werter

Ок. Тогда так  - вы не можете "достучаться" до сети за Openwrt, верно? Судя по всему проблем с pf нет - коннект есть , маршруты есть.
Разбирайтесь c Openwrt - правила iptables, NAT.

P.s. http://theitdepartment.wordpress.com/2009/06/08/openwrt-openvpn-routed-lans/

[root@client openvpn]# iptables -t nat -A POSTROUTING -s 192.168.255.2 -d 10.0.0.0/24 -j SNAT –to-source 192.168.1.1
[root@client openvpn]# iptables -A FORWARD -i eth0 -o tun0 -s 192.168.1.0/24 -d 10.0.0.0/24 -j ACCEPT
[root@client openvpn]# iptables -A FORWARD -i tun0 -o eth0 -s 10.0.0.0/24 -d 192.168.1.0/24 -j ACCEPT

Правила адаптируйте под свои и включите NAT на Openwrt .
И не забывайте после изменения правил iptables или перезапускать iptables или перезагружать роутер с OpenWRT!

AlexS

мне кажется проблема все-таки в pf

из локалки  10.7.11.x на openvpn ip openwrt  10.7.12.6
traceroute to 10.7.12.6 (10.7.12.6), 30 hops max, 60 byte packets
1 10.7.11.1 (10.7.11.1)  1.594 ms  1.968 ms  2.632 ms
2  10.7.12.6 (10.7.12.6)  64.333 ms  72.619 ms  75.063 ms

тогда как если я пытаюсь достучаться на 10.7.13.1(внутрений ip) openwrt
traceroute to 10.7.13.1 (10.7.13.1), 30 hops max, 60 byte packets
1  192.168.2.1 (192.168.2.1)  1.886 ms  1.852 ms  1.835 ms

То pfsense направляет пакеты на wan интерфейс
Почему?

werter

Перезагрузите pfsense

AlexS

Перезагрузка не помогла

$traceroute 10.7.12.6
traceroute to 10.7.12.6 (10.7.12.6), 30 hops max, 60 byte packets
1  10.7.11.1 (10.7.11.1)  1.686 ms  1.666 ms  2.099 ms
2  10.7.12.6 (10.7.12.6)  86.667 ms  90.031 ms  92.376 ms
$ traceroute 10.7.13.1
traceroute to 10.7.13.1 (10.7.13.1), 30 hops max, 60 byte packets
1  192.168.2.1 (192.168.2.1)  1.577 ms  1.544 ms  1.528 ms

werter

Еще раз route -n на pfsense при этом покажите.