Маршрутизация между OpenVPN соединениями



  • Добрый день!

    Уважаемые форумчане, подскажите, плиз, как правильно задать маршрут от клиента OpenVPN к удаленной сети, связанной к офисной через OpenVPN.

    Клиент соединяется с pfSense (Remote Access (SSL/TLS + User Auth.)). Всё работает без нареканий - доступны все ресурсы офисной сети.

    Необходимо дать клиентам OpenVPN доступ к ресурсам домашней сети.




  • У вас два OpenVPN-сервера на Pfsense?



  • Да, поднято несколько серверов.

    Один - для сотрудников локального офиса, остальные (в данный момент их 2) для соединения с домашними сетями и удалёнными офисами.



  • На OpenVPN-сервере , к-ый .173. в доп. настройках допишите - push "route 192.168.167.0 255.255.255.0";
    У клиента 10.0.173.x (и других тоже) для принятия маршрутов и настроек от сервера необходима директива pull в конфиге.

    И в правилах fw на OpenVPN-ах не забудьте дать доступ адресам из 10.0.173.x в сеть 192.168.167.0



  • @werter:

    На OpenVPN-сервере , к-ый .173. в доп. настройках допишите - push "route 192.168.167.0 255.255.255.0";

    Это есть.

    @werter:

    У клиента 10.0.173.x (и других тоже) для принятия маршрутов и настроек от сервера необходима директива pull в конфиге.

    Про pull не совсем вас понял. Маршруты на клиентах прописываются, они передаются от сервера через параметр push "route"; Сотрудники видят все ресурсы офисной сети.

    @werter:

    И в правилах fw на OpenVPN-ах не забудьте дать доступ адресам из 10.0.173.x в сеть 192.168.167.0

    Я поставил пока звёздочки.




  • Так есть связь или нет?



  • Сам роутер 192.168.167.1 пингуется, а компы, что за за ним - нет.



  • Разбирайтесь с NAT на OpenWRT.
    GIYF!



  • Да, да, спасибо. Сейчас выполню срочную задачку по работе, и буду смотреть в сторону OpenWRT.

    Твои советы верны, я знаю. Отпишусь, как будут результаты.



  • Директива iroute в client custom config на pfsense имеется?



  • да



  • http://leinonen.org/Softat/How_to_configure_OpenVPN_shared_key_tunnels_using_pfSense_and_OpenWRT.pdf

    Setup OpenWRT

    This document assumes that you have working OpenWRT environment. 
    This document assumes that you have update your OpenWRT packages list access to backports.

    Step 1. Take ssh session to your OpenWRT box.
    Step 2. Paste your key file /etc/openvpn directory. (OpenWRT use vi editor. vi help /3/)

    vi /etc/openvpn/myshared.key

    -  Inside vi press Esc and then i

    • Paste y our k ey
    • Press E sc
      -  Write :wq! and press enter
      Step 3. Generate configuration file to /etc/config/ directory

    dev tun0 # Generate/use tunnel 0
    proto tcp-client # Use tcp
    keepalive 10 60 # Some ping like messages
    persist-tun # Some persist options
    persist-key # Some persist options
    ifconfig 10.0.8.2 10.0.8.1 # Tun0 ip-address
    route 192.168.0.0 255.255.255.0 # Route for corporate network
    remote 212.212.212.1 1194 # OpenVPN server address
    resolv-retry infinite # Some Road warrior stuff
    nobind # We don’t need to specific port number 
    mute-replay-warnings # Some WLAN stuff
    secret /etc/openvpn/myshared.key # Where our secret file is located
    comp-lzo # Enable compression
    verb 3 # Log verbosity

    Example. myopenvpn.cfg file

    Step 4. Generate startup script for /etc/init.d directory.

    Make sure that tun module is loaded

    insmod tun

    Start OpenVPN daemon

    openvpn –daemon --config /etc/config/openvpn.oma --ifconfig-nowarn

    Allow traffic to tunnel /4/

    iptables -A INPUT -i tun+ -j ACCEPT

    Allow forwarding traffic from tunnel

    iptables -A FORWARD -i tun+ -j ACCEPT

    Allow forwarding traffic from br0 interface to tunnel

    iptables -A FORWARD -i br0 -o tun+ -j ACCEPT

    Example. S98openvpn file

    Step 5. Restart your OpenWRT box and watch your pfSense firewall and OpenVPN logs.

    There should be something like this 
    Jan 11 12:52:47        openvpn[9494]: Initialization Sequence Completed
    Jan 11 12:52:46        openvpn[9494]: Peer Connection Initiated with xxx.xxx.xxx.xxx:4356
    Jan 11 12:52:46        openvpn[9494]: TCPv4_SERVER link remote: xxx.xxx.xxx.xxx:4356
    Jan 11 12:52:46        openvpn[9494]: TCPv4_SERVER link local (bound): [undef]:1194
    Jan 11 12:52:46        openvpn[9494]: TCP connection established with xxx.xxx.xxx.xxx:4356



  • Большое спасибо за информацию!!!



  • как-то странно работает, соединяет только на 3-ий раз. Потом долго не коннектится, потом опять соединится. Неустойчивое решение получается. Офисная сеть и домашняя друг друга видят замечательно. Но, вот с пробросом порта либо объединить OpenVPN сети на стороне pfsense до сих пор не удалось. Может у кого-нибудь работает такая схема?



  • как-то странно работает, соединяет только на 3-ий раз. Потом долго не коннектится, потом опять соединится

    Читайте логи. Выставите verb по-больше, напр., 5.  Будут в логах ошибки - гуглите по ним и разбирайтесь.
    Включите логирование fw и смотрите там тоже.

    P.s. Все же есть сомнения в настройках вашей OpenWRT. Копайте ее.

    P.p.s. Попробуйте сменить схему с OpenVPN на схему с PPTP.