OpenVPN подключение Клиенты-сеть за OpenVPN
-
Добрый день не могу разобраться с маршрутизацией.
Схема такая:
Интернет ->
Роутер Asus (NAT на pfSense, сеть 10.10.77.0/24) ->
Сервер pfSense 10.10.77.99/24 (и сервер OpenVPN, 10.10.8.0/24) ->
Локальная сеть (192.168.10.0/24).Настроил сервер OpenVPN, экспортировал конфиги и серты, закинул на пленшет и телефон - есть одновременный доступ к локальной сети на все 100%. Скидываю аналогичный конфиг на любой ПК - происходит соединение, пинг сервера OpenVPN есть, пинга и сети за OpenVPN нет.
Правила фаервола настроились сами при прохождении визарда.Уже неделю долблюсь с OpenVPN, нашёл возможную причину в отстутствии маршрута на Win машинах, ок.
Прописываю "route -p add 192.168.10.0 mask 255.255.255.0 10.10.8.адрес, полученный от OpenVPN" - не помогает.В самих настройках OpenVPN пункт IPv4 Local Network/s заполнил как 192.168.10.0/24.
Также пытался дописывать в конфиг сервера "push "route 192.168.10.0 255.255.255.0" - та же история.Выручайте, я в отчаянии!!! :'(
-
Рисуем понятную схему сети, выкладываем конфиги OpenVPN-сервера и клиентов, выкладываем скрины настроек OpenVPN-сервера (вкладки Server , Client), скрины правил fw и NAT.
-
Рисуем понятную схему сети, выкладываем конфиги OpenVPN-сервера и клиентов, выкладываем скрины настроек OpenVPN-сервера (вкладки Server , Client), скрины правил fw и NAT.
Схема, сейчас и настройки пришлю.
-
Настройки сервера и NAT
-
Firewall
-
Ваш Асус - проблемное звено, однозначно. Зачем он Вам ? Если для ви-фи - переводите его в режим ТД \ отключайте DHCP и пускай pfsense всем "рулит".
P.s. Повторюсь, если у вас rt-n12 c1\d1 - прошивайте его TomatoUSB shibby's mode - не пожалеете.
-
Конфиг PC-клиента покажите.
-
Конфиг клиента:
persist-tun persist-key cipher AES-128-CBC auth SHA1 tls-client client remote *EXT_IP* 1194 udp lport 0 verify-x509-name "NLB Server Cert" name auth-user-pass ns-cert-type server comp-lzo
-
Asus это временное решение, пока я тестю дома с провайдером через Ethernet. А в боевых условиях будет ADSL, который, как я предполагаю, нудо будет настраивать в режим моста.
В Asusе всё НАТировано на pfSense, всё-таки думаю, что Asus ничего не решает, ведь мобильным клиентам он не мешает. Думаю, проблема на клиенте.
-
Если у вас в кач-ве PC-клиента - win 7\vista\8 - устанавливайте и запускайте клиента от имени Администратора! Это важно.
Далее, в конфиг клиента добавьте директивы :route-delay 5
route-method exe
ip-win32 netsh
pullПосле установления OpenVPN-сессии посмотрите на клиенте вывод команды route print - появился ли там маршрут в удаленную сеть за сервером.
-
route-delay 5
route-method exe
ip-win32 netsh
pullДобавил на клиенте, получаю
Tue Mar 11 13:31:32 2014 NETSH: C:\WINDOWS\system32\netsh.exe interface ip set address Подключение по локальной сети 3 static 10.10.8.14 255.255.255.252 Tue Mar 11 13:31:35 2014 ERROR: netsh command failed: returned error code 1
Это WindowsXP HE. Пользователь в группе администраторов.
Если запускаться без этих строк, то в таблице маршрутизации есть строка
Адрес - Маска - Адрес Шлюза - Интерфейс - Метрика
192.168.10.0 255.255.255.0 10.10.8.13 10.10.8.14 1Откуда берётся адрес шлюза .13 для меня загадка. Есть идеи?
Ага, адрес .13 указан в строке DHCP сервер TAP адаптера. Маска 255.255.255.252
-
Нет ли статических маршрутов на PC-клиенте ?
-
Нет ли статических маршрутов на PC-клиенте ?
Нет.
Нормально ли, что в TAP адаптере нет шлюза? -
Есть ли fw\antivirus на клиенте - родной, Касперский, NOD32 etc? Отключите их.
-
Есть ли fw\antivirus на клиенте - родной, Касперский, NOD32 etc? Отключите их.
KIS 14, отключил, перезапустил соединение, та же история - сервер видно, сеть за ним нет.
-
Далее, в конфиг клиента добавьте директивы :
pull
Если чтение мануалов для меня не прошло зря, то раз есть Pull, то на стороне сервера должен быть Push, верно?
У меня его нет. -
Далее, в конфиг клиента добавьте директивы :
pull
Если чтение мануалов для меня не прошло зря, то раз есть Pull, то на стороне сервера должен быть Push, верно?
У меня его нет.Не совсем так. Pull - принятие всех настроек от сервера , т.е. не только тех точ с push.
Далее - вы проверяли доступ только к одному адресу за сервером? Проверьте другие и не только ping-ом, но и telnet-ом на открытые порты. -
Далее, в конфиг клиента добавьте директивы :
pull
Если чтение мануалов для меня не прошло зря, то раз есть Pull, то на стороне сервера должен быть Push, верно?
У меня его нет.Не совсем так. Pull - принятие всех настроек от сервера , т.е. не только тех точ с push.
Далее - вы проверяли доступ только к одному адресу за сервером? Проверьте другие и не только ping-ом, но и telnet-ом на открытые порты.С другими ПК локалки тоже самое. Повторюсь, доступ с телефона и планшета есть, полагаю, что с сервером и локалкой за ним всё в порядке. Может быть дело всё-таки в настройках клиента?
-
Попробуйте другую машину, установив на нее OpenVPN-клиент.
-
Попробуйте другую машину, установив на нее OpenVPN-клиент.
Уже делал. Подключался из нескольких мест с 2008R2, 7, XP - результат один и тот же.