Openvpn pfsense - client, tomato - server (решено)



  • Есть железка "netgear 3500l v2" в качестве сервера openvpn, есть отдельный комп с pfsense 2.1.2-RELEASE (amd64) в качестве клиента, есть еще одна железка "netgear 3500l v2" в качестве еще одного клиента.
    Задача: посадить все сети в одну, дабы работали сетевые принтеры, voip, перекидывались файлы из сетевых папок и работал DLNA.
    Пробовал в режиме TUN, все работает, но не видится DLNA и скорость скачки файлов просто ужасная.

    На данный момент:
    все 3 сети 192.168.20.0/24
    на сервере

    Automatically generated configuration

    daemon
    server-bridge 192.168.20.1 255.255.255.0 192.168.20.41 192.168.20.49
    proto udp
    port 1195
    dev tap21
    comp-lzo adaptive
    keepalive 15 60
    verb 3
    client-config-dir ccd
    client-to-client
    push "dhcp-option DNS 192.168.20.1"
    ca ca.crt
    dh dh.pem
    cert server.crt
    key server.key
    status-version 2
    status status

    Custom Configuration

    на втором клиенте с томато, все подключается и работает

    Automatically generated configuration

    daemon
    client
    dev tap11
    proto udp
    remote *****dns.com 1195
    resolv-retry 30
    nobind
    persist-key
    persist-tun
    comp-lzo adaptive
    cipher BF-CBC
    verb 3
    ca ca.crt
    cert client.crt
    key client.key
    status-version 2
    status status

    Custom Configuration

    а с pfsense не могу подключиться

    /var/etc/openvpn/client1.conf

    dev ovpnc1
    dev-type tap
    dev-node /dev/tap1
    writepid /var/run/openvpn_client1.pid
    #user nobody
    #group nobody
    script-security 3
    daemon
    keepalive 10 60
    ping-timer-rem
    persist-tun
    persist-key
    proto udp
    cipher BF-CBC
    up /usr/local/sbin/ovpn-linkup
    down /usr/local/sbin/ovpn-linkdown
    local 10.86.20.6
    tls-client
    client
    lport 0
    management /var/etc/openvpn/client1.sock unix
    remote ******dns.com 1195
    ca /var/etc/openvpn/client1.ca
    cert /var/etc/openvpn/client1.cert
    key /var/etc/openvpn/client1.key
    comp-lzo

    Это local 10.86.20.6, я так понимаю wan?

    log openvpn on pfsense

    Apr 26 15:56:06 openvpn[63397]: OpenVPN 2.3.2 amd64-portbld-freebsd8.3 [SSL (OpenSSL)] [LZO] [eurephia] [MH] [IPv6] built on Mar 27 2014
    Apr 26 15:56:06 openvpn[63397]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
    Apr 26 15:56:06 openvpn[63397]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
    Apr 26 15:56:06 openvpn[63638]: UDPv4 link local (bound): [AF_INET]10..6
    Apr 26 15:56:06 openvpn[63638]: UDPv4 link remote: [AF_INET]
    :1195
    Apr 26 15:56:07 openvpn[63638]: Peer Connection Initiated with [AF_INET]
    **:1195
    Apr 26 15:56:09 openvpn[63638]: TUN/TAP device ovpnc1 exists previously, keep at program end
    Apr 26 15:56:09 openvpn[63638]: TUN/TAP device /dev/tap1 opened
    Apr 26 15:56:09 openvpn[63638]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
    Apr 26 15:56:09 openvpn[63638]: /sbin/ifconfig ovpnc1 192.168.20.51 netmask 255.255.255.0 mtu 1500 up
    Apr 26 15:56:09 openvpn[63638]: FreeBSD ifconfig failed: external program exited with error status: 1
    Apr 26 15:56:09 openvpn[63638]: Exiting due to fatal error

    что не так и куда тыкнуть ? В консоле, к сожалению, не умею работать.



  • Tomato - версия от Shibby (http://tomato.groov.pl/) ?  И нарисуйте схему сети с адресами, пож-та.



  • версия томато "Version 1.28 by shibby"  "tomato-Netgear-3500Lv2-K26USB-1.28.RT-N5x–117-VPN.chk"
    как нарисовать не знаю... попробую так

    internet  ---- => tomato (server)    192.168.20.1    => его компы (192.168.20.0/24 gateway 192.168.20.1)(предположим 192.168.20.2-40)
    internet  ---- => pfsense ( client1 ) 192.168.20.100 => его компы (192.168.20.0/24 gateway 192.168.20.100)((предположим 192.168.20.101-254)
    internet  ---- => tomato  ( client2 ) 192.168.20.50 => его компы  (192.168.20.0/24 gateway 192.168.20.50)(предположим 192.168.20.51-99)



  • Один умный человек на другом форуме посоветовал убрать строки
    dev ovpnc1
    dev-node /dev/tap1

    я их убрал и соединение vpn появилось
    потом обратно поставил, а соединение осталось

    А для доступа ко всей сетке, пришлось бридж делать с ЛАН.
    В общем все работает.

    Осталось 2 вопроса:
    1: Что же это было?
    2: Как разделить dhcp ? (ну что бы, допустим, server не давал адреса компам за client2, а то он же свой шлюз дает, чего мне не надо )



  • Как разделить dhcp ? (ну что бы, допустим, server не давал адреса компам за client2, а то он же свой шлюз дает, чего мне не надо )

    В настройках Томато на LAN откл. DHCP. Далее , идете в Advanced - > DHCP / DNS Server (LAN) - > Dnsmasq Custom configuration :

    interface=br0
    dhcp-option=br0,3,192.168.x.x # указание шлюза по-умолчанию для DHCP-клиентов
    dhcp-range=br0,192.168.x.x,192.168.x.y,255.255.255.0,15m # диапазон адресов для DHCP-клиентов и длительность резервирования адреса
    dhcp-option=br0,6,8.8.8.8,8.8.4.4 # адреса DNS серверов, выдаваемые DHCP-клиентам
    
    

    Адресацию и названия интерфейсов, ес-но, исп-те свои. Более подробно о конфигурировании Dnsmasq ищите в гугле.