OpenVPN подключение Клиенты-сеть за OpenVPN



  • Добрый день не могу разобраться с маршрутизацией.

    Схема такая:
    Интернет ->
    Роутер Asus (NAT на pfSense, сеть 10.10.77.0/24) ->
    Сервер pfSense 10.10.77.99/24 (и сервер OpenVPN, 10.10.8.0/24) ->
    Локальная сеть (192.168.10.0/24).

    Настроил сервер OpenVPN, экспортировал конфиги и серты, закинул на пленшет и телефон - есть одновременный доступ к локальной сети на все 100%. Скидываю аналогичный конфиг на любой ПК - происходит соединение, пинг сервера OpenVPN есть, пинга и сети за OpenVPN нет.
    Правила фаервола настроились сами при прохождении визарда.

    Уже неделю долблюсь с OpenVPN, нашёл возможную причину в отстутствии маршрута на Win машинах, ок.
    Прописываю "route -p add 192.168.10.0 mask 255.255.255.0 10.10.8.адрес, полученный от OpenVPN" - не помогает.

    В самих настройках OpenVPN пункт IPv4 Local Network/s заполнил как 192.168.10.0/24.
    Также пытался дописывать в конфиг сервера "push "route 192.168.10.0 255.255.255.0" - та же история.

    Выручайте, я в отчаянии!!! :'(



  • Рисуем понятную схему сети, выкладываем конфиги OpenVPN-сервера и клиентов, выкладываем скрины настроек OpenVPN-сервера (вкладки Server , Client), скрины правил fw и NAT.



  • @werter:

    Рисуем понятную схему сети, выкладываем конфиги OpenVPN-сервера и клиентов, выкладываем скрины настроек OpenVPN-сервера (вкладки Server , Client), скрины правил fw и NAT.

    Схема, сейчас и настройки пришлю.




  • Настройки сервера и NAT






  • Firewall




  • Ваш Асус - проблемное звено, однозначно. Зачем он Вам ? Если для ви-фи - переводите его в режим ТД \ отключайте DHCP и пускай pfsense всем "рулит".

    P.s. Повторюсь, если у вас rt-n12 c1\d1 - прошивайте его TomatoUSB shibby's mode - не пожалеете.



  • Конфиг PC-клиента покажите.



  • Конфиг клиента:

    
    persist-tun
    persist-key
    cipher AES-128-CBC
    auth SHA1
    tls-client
    client
    remote *EXT_IP* 1194 udp
    lport 0
    verify-x509-name "NLB Server Cert" name
    auth-user-pass
    ns-cert-type server
    comp-lzo
    
    


  • Asus это временное решение, пока я тестю дома с провайдером через Ethernet. А в боевых условиях будет ADSL, который, как я предполагаю, нудо будет настраивать в режим моста.

    В Asusе всё НАТировано на pfSense, всё-таки думаю, что Asus ничего не решает, ведь мобильным клиентам он не мешает. Думаю, проблема на клиенте.



  • Если у вас в кач-ве PC-клиента - win 7\vista\8  - устанавливайте и запускайте клиента от имени Администратора! Это важно.
    Далее, в конфиг клиента добавьте директивы :

    route-delay 5
    route-method exe
    ip-win32 netsh
    pull

    После установления OpenVPN-сессии посмотрите на клиенте вывод команды route print - появился ли там маршрут в удаленную сеть за сервером.



  • @werter:

    route-delay 5
    route-method exe
    ip-win32 netsh
    pull

    Добавил на клиенте, получаю

    Tue Mar 11 13:31:32 2014 NETSH: C:\WINDOWS\system32\netsh.exe interface ip set address Подключение по локальной сети 3 static 10.10.8.14 255.255.255.252
    Tue Mar 11 13:31:35 2014 ERROR: netsh command failed: returned error code 1
    

    Это WindowsXP HE. Пользователь в группе администраторов.

    Если запускаться без этих строк, то в таблице маршрутизации есть строка
    Адрес - Маска - Адрес Шлюза - Интерфейс - Метрика
    192.168.10.0  255.255.255.0  10.10.8.13    10.10.8.14  1

    Откуда берётся адрес шлюза .13 для меня загадка. Есть идеи?

    Ага, адрес .13 указан в строке DHCP сервер TAP адаптера. Маска 255.255.255.252



  • Нет ли статических маршрутов на PC-клиенте ?



  • @werter:

    Нет ли статических маршрутов на PC-клиенте ?

    Нет.
    Нормально ли, что в TAP  адаптере нет шлюза?



  • Есть ли fw\antivirus на клиенте - родной, Касперский, NOD32 etc? Отключите их.



  • @werter:

    Есть ли fw\antivirus на клиенте - родной, Касперский, NOD32 etc? Отключите их.

    KIS 14, отключил, перезапустил соединение, та же история - сервер видно, сеть за ним нет.



  • @werter:

    Далее, в конфиг клиента добавьте директивы :

    pull

    Если чтение мануалов для меня не прошло зря, то раз есть Pull, то на стороне сервера должен быть Push, верно?
    У меня его нет.



  • @dTinside:

    @werter:

    Далее, в конфиг клиента добавьте директивы :

    pull

    Если чтение мануалов для меня не прошло зря, то раз есть Pull, то на стороне сервера должен быть Push, верно?
    У меня его нет.

    Не совсем так. Pull - принятие всех настроек от сервера , т.е. не только тех точ с push.
    Далее - вы проверяли доступ только к одному адресу за сервером? Проверьте другие и не только ping-ом, но и telnet-ом на открытые порты.



  • @werter:

    @dTinside:

    @werter:

    Далее, в конфиг клиента добавьте директивы :

    pull

    Если чтение мануалов для меня не прошло зря, то раз есть Pull, то на стороне сервера должен быть Push, верно?
    У меня его нет.

    Не совсем так. Pull - принятие всех настроек от сервера , т.е. не только тех точ с push.
    Далее - вы проверяли доступ только к одному адресу за сервером? Проверьте другие и не только ping-ом, но и telnet-ом на открытые порты.

    С другими ПК локалки тоже самое. Повторюсь, доступ с телефона и планшета есть, полагаю, что с сервером и локалкой за ним всё в порядке. Может быть дело всё-таки в настройках клиента?



  • Попробуйте другую машину, установив на нее OpenVPN-клиент.



  • @werter:

    Попробуйте другую машину, установив на нее OpenVPN-клиент.

    Уже делал. Подключался из нескольких мест с 2008R2, 7, XP - результат один и тот же.



  • 2 dTinside
    Прочтите ЛС.



  • Рабочий конфиг клиента на стороне Windows

    
    dev tun
    keepalive 5 10
    ping-timer-rem
    persist-tun
    persist-key
    cipher AES-128-CBC
    auth SHA1
    tls-client
    client
    resolv-retry infinite
    remote *** 1194 udp
    lport 0
    verify-x509-name "***" name
    auth-user-pass
    pkcs12 ***.p12
    tls-auth ***.key 1
    ns-cert-type server
    comp-lzo
    comp-noadapt
    route-delay 5
    route-method exe
    # ip-win32 netsh
    pull
    verb 3
    auth-user-pass pwd.txt 
    
    

    Проблема решена! Огромнейшее спасибо Werter!



  • Рад , что вышло.

    P.s. Кстати ключи и сертификаты можно хранить не в разных файлах + файл конфига (.ovpn), а в одном. В pfsense во вкладке экспорта конфигурации есть inline-экспорт. На выходе получаем один файл .ovpn, в теле к-ого хранятся и настройки и файлы ключей, сертификатов.



  • @dTinside:

    Рабочий конфиг клиента на стороне Windows

    
    dev tun
    keepalive 5 10
    ping-timer-rem
    persist-tun
    persist-key
    cipher AES-128-CBC
    auth SHA1
    tls-client
    client
    resolv-retry infinite
    remote *** 1194 udp
    lport 0
    verify-x509-name "***" name
    auth-user-pass
    pkcs12 ***.p12
    tls-auth ***.key 1
    ns-cert-type server
    comp-lzo
    comp-noadapt
    route-delay 5
    route-method exe
    # ip-win32 netsh
    pull
    verb 3
    auth-user-pass pwd.txt 
    
    

    Проблема решена! Огромнейшее спасибо Werter!

    У меня такая же проблема, все равно нет пинга к локальной сети(



  • @kuznetsov_anton:

    У меня такая же проблема, все равно нет пинга к локальной сети(

    И как вам помочь, мил человек ?
    Ни описания структуры, ни схемы.


Log in to reply