OpenVPN: SSL/TLS Site-to-Site - сеть клиента не видна



  • Добрый день!
    Есть сеть pfSense Server - pfSense Client. Поведение прямо скажу странное. Соединялся с клиента - соединение есть, сети за ним не видно, ping не идёт. Через некоторое время то ли час, то ли два всё заработало само собой. Ладно, магия на потом.
    Суть проблемы в следующем: с сервера не видно сети клиента, не видно даже openvpn ip адрес клиента с самого pfSense Server.
    1. Все фаерволы на роутерах отключены.
    2. Все АВ и фаерволы на конечных ПК отключены.
    3. Настроен NAT на обоих роутерах на порт 1194 и адрес pfSense сервер.
    4. Знаю, что роутеры - костыль, но нужно настроить всё с ними.
    5. В маршрутах есть взаимные маршруты друг на друга

    Server:
    Remote Access (SSL/TLS)
    UDP
    1194
    10.10.90.0/24 - IPv4 Tunnel Network
    10.10.210.0/24 - IPv4 Local network
    route 192.168.0.0 255.255.255.0 - Advanced

    Server Client Specific Override
    iroute 192.168.0.0 255.255.255.0

    Server WAN Firewall
    ID Proto Source Port Destination Port Gateway Queue Schedule Description
      IPv4 UDP * *         WAN address 1194 * none

    Server OpenVPN Firewall
    ID Proto Source Port Destination Port Gateway Queue Schedule Description
      IPv4 * * * * *

    Client:
    Peer-to-Peer SSl/TLS
    UDP
    remote ipaddr
    1194
    10.10.90.0/24 - IPv4 Tunnel Network
    10.10.210.0/24 - IPv4 Remote Network
    route 10.10.210.0 255.255.255.0 - Advanced

    Client WAN Firewall
    ID Proto Source Port Destination Port Gateway Queue Schedule Description
      IPv4 UDP * *         WAN address 1194 * none

    Client OpenVPN Firewall
    ID Proto Source Port Destination Port Gateway Queue Schedule Description
      IPv4 * * * * *




  • Блокирование серых IP на WAN на обоих pfsense отключено ?

    P.s. И да, согласен более чем, что ваши роутеры - те еще костыли. Если от них нужен только W-fi - выключите на них DHCP \ переведите в режим простой AP и включите в LAN-сеть pfsense средствами доп. свитча\ отдельной сетевой карты. И будет вам Wi-Fi + pfsense.



  • @werter:

    Блокирование серых IP на WAN на обоих pfsense отключено ?

    Это я так понимаю "Block private networks". Если да, то галочки не стоят с обеих сторон.

    Роутеры не для Wi-Fi. Поскольку данное соединение тестится в боевых условиях (нашего офиса и соседнего), эти устройства работают на случай краха pfSense, для быстрого переключения на них, так как специфика нашей работы подразумевает находится онлайн всё рабочее время.


Log in to reply