OpenVPN и 3 филиала (маршрутизация) :РЕШЕНО
-
Добрый день.
Прошу дилетанту помочь разобраться. :-[
Есть 3 офиса за PfSense
А- 192.168.0.1/24
B- 192.168.0.2/24
C- 192.168.0.3/24Офис "А" - центральный. На нем подняты 2 OpenVPN сервера (на разных портах с разными тунельными сетками) для каждого филиала. (site-to-site)
Офис "А" видит всех.
Офисе "В" видит только "А" и "В"
Офисе "С" видит только "С" и "А"
Нужно что бы все друг друга видели.Какие есть пути решения?
-Прописать(добавить) маршруты - (Где?)
-Поменять схему подключения (Один сервер OpenVPN на "Remote access SSL/TLS" и 2 клиента)
Есть куча мануалов и тем по настройке OpenVPN (site-to-site) для 2хPfsense, а вот как объединить 3хPfsense и более - НЕТ. :(
Поэтому подробное описание с планом действий - это самое ТО. :)
Заранее благодарен.
Смотрел, но так и не разобрался:
[url=https://forum.pfsense.org/index.php/topic,58517.0.html]https://forum.pfsense.org/index.php/topic,58517.0.html
https://forum.pfsense.org/index.php?topic=58329.15 -
Для начала подсети разными сделайте. У вас у всех одна подсеть.
-
Простите. Был не внимателен при написании. :-[
Подсети там такие:
А- 192.168.1.0/24
B- 192.168.2.0/24
C- 192.168.3.0/241. Вариант №1 (стат маршруты)
Как временное решение получилось связать все путем добавления стат маршрута в офисах через "Execute Shell command"
Офис С - (route add -net 192.168.2.0/24 192.168.1.0)
Офис В - (route add -net 192.168.3.0/24 192.168.1.0)
Но это до перезагрузки :(
Подскажите пжлст где в Pfsense можно прописать/добавить стат маршрут так, что бы он не затирался ?2. Вариант №2 (Один openvpn сервер)
Попытался настроить так:
В офисе А поднял openvpn сервер Remote Access (SSL/TLS), настроил.
создал openvpn сервер
В настойках openvpn сервера поставил галку (Allow communication between clients connected to this server), что бы клиенты видели друг друга.
создал сервер сертификатов
создал сертификаты (сервер, клиент-1, клиент-2)
создал ему Certificate Revocation (пустой :))Офис (В и С) - создаю клиентов (Remote Access (SSL/TLS)) соответственно.
Проблема:
Как передать/подсунуть в каждый офис сертификаты? (как настроить клиентов?)
и
Где у Pfsense лежат ф-лы от openvpn ? -
Прописать:
На клиентах в Advanced configuration
route 192.168.Х.0/24 255.255.255.0или, если на сервере используется конфигурация PKI - в Client Specific Overrides
push route "192.168.Х.0 255.255.255.0"192.168.Х.0 - сеть удаленного филиала
Как передать/подсунуть в каждый офис сертификаты? (как настроить клиентов?)
Файлы сертификатов - обычные текстовые файлы. Открыть блокнотом и Copy\PasteГде у Pfsense лежат ф-лы от openvpn ?
/var/etc/openvpn
/var/etc/openvpn-cscНо прямое их редактирование не имеет смысла, для дополнительных директив openvpn используйте поля Advanced configuration на сервере или клиенте, разделяя директивы символом ;
-
Так и сделал!
На клиентах в Advanced configuration
route 192.168.Х.0 255.255.255.0Спасибо большое :)
-
Помогите пожалуйста разобраться:
создан OpenVPN server (site-to-site) сетка LAN 192.168.1.0
клиент в другом офисе подключается и все работает LAN 192.168.2.0вопрос такой: если со стороны сервера имеется еще одна сетка (например 192.168.5.0) а у клиента еще одна сетка 192.168.6.0. и мне нужно их связать. их можно запихать в один тунель, или мне для этого нужно создавать еще один openVPN server?
-
Помогите пожалуйста разобраться:
создан OpenVPN server (site-to-site) сетка LAN 192.168.1.0
клиент в другом офисе подключается и все работает LAN 192.168.2.0вопрос такой: если со стороны сервера имеется еще одна сетка (например 192.168.5.0) а у клиента еще одна сетка 192.168.6.0. и мне нужно их связать. их можно запихать в один тунель, или мне для этого нужно создавать еще один openVPN server?
Можно
route 192.168.5.0 255.255.255.0;
push "route 192.168.0.0 255.255.255.0"route 192.168.0.0 255.255.255.0;
push "route 192.168.5.0 255.255.255.0";Не знаю только как FW на это отреагирует…
-
1. У вас сеть 192.168.5.0 с сервером pfsense как связана ? Как вторая ?
если со стороны сервера имеется еще одна сетка (например 192.168.5.0)
На клиенте в настройке Advanced:
route 192.168.5.0 255.255.255.0;
2. Что у клиента в кач-ве OpenVPN-сервиса ? Тоже pfsense или что-то другое?
а у клиента еще одна сетка 192.168.6.0
На сервере в настройке Advanced:
route 192.168.6.0 255.255.255.0;
И во вкладке Client specific overrides :
iroute 192.168.6.0;
-
1. У вас сеть 192.168.5.0 с сервером pfsense как связана ? Как вторая ?
если со стороны сервера имеется еще одна сетка (например 192.168.5.0)
На клиенте в настройке Advanced:
route 192.168.5.0 255.255.255.0;
2. Что у клиента в кач-ве OpenVPN-сервиса ? Тоже pfsense или что-то другое?
а у клиента еще одна сетка 192.168.6.0
На сервере в настройке Advanced:
route 192.168.6.0 255.255.255.0;
И во вкладке Client specific overrides :
iroute 192.168.6.0;
c обоих сторон pfsense
сетки вторые - просто еще один интерфейс с обоих сторон
-
Описал выше. Дерзайте. И про правила fw не забывайте.