OpenVPN и 3 филиала (маршрутизация) :РЕШЕНО



  • Добрый день.
    Прошу дилетанту помочь разобраться. :-[
    Есть 3 офиса за PfSense
    А- 192.168.0.1/24
    B- 192.168.0.2/24
    C- 192.168.0.3/24

    Офис "А" - центральный. На нем подняты 2 OpenVPN сервера (на разных портах с разными тунельными сетками) для каждого филиала. (site-to-site)
    Офис "А" видит всех.
    Офисе "В" видит только "А" и "В"
    Офисе "С" видит только "С" и "А"
    Нужно что бы все друг друга видели.

    Какие есть пути решения?
    -Прописать(добавить) маршруты - (Где?)
    -Поменять схему подключения (Один сервер OpenVPN на "Remote access SSL/TLS" и 2 клиента)


    Есть куча мануалов и тем по настройке OpenVPN (site-to-site) для 2хPfsense, а вот как объединить 3хPfsense и более - НЕТ. :(
    Поэтому подробное описание с планом действий - это самое ТО. :)
    Заранее благодарен.


    Смотрел, но так и не разобрался:
    [url=https://forum.pfsense.org/index.php/topic,58517.0.html]https://forum.pfsense.org/index.php/topic,58517.0.html
    https://forum.pfsense.org/index.php?topic=58329.15



  • Для начала подсети разными сделайте. У вас у всех одна подсеть.



  • Простите. Был не внимателен при написании. :-[

    Подсети там такие:
    А- 192.168.1.0/24
    B- 192.168.2.0/24
    C- 192.168.3.0/24

    1. Вариант №1 (стат маршруты)
    Как временное решение получилось связать все путем добавления стат маршрута в офисах через "Execute Shell command"
    Офис С - (route add -net 192.168.2.0/24 192.168.1.0)
    Офис В - (route add -net 192.168.3.0/24 192.168.1.0)
    Но это до перезагрузки :(
    Подскажите пжлст где в Pfsense можно прописать/добавить стат маршрут так, что бы он не затирался ?

    2. Вариант №2 (Один openvpn сервер)
    Попытался настроить так:
    В офисе А поднял openvpn сервер Remote Access (SSL/TLS), настроил.
    создал openvpn сервер
    В настойках openvpn сервера поставил галку (Allow communication between clients connected to this server), что бы клиенты видели друг друга.
    создал сервер сертификатов
    создал сертификаты (сервер, клиент-1, клиент-2)
    создал ему Certificate Revocation (пустой :))

    Офис (В и С) - создаю клиентов (Remote Access (SSL/TLS)) соответственно.
    Проблема:
    Как передать/подсунуть в каждый офис сертификаты? (как настроить клиентов?)
    и
    Где у Pfsense лежат ф-лы от openvpn ?



  • Прописать:

    На клиентах в Advanced configuration
    route 192.168.Х.0/24 255.255.255.0

    или, если на сервере используется конфигурация PKI -  в Client Specific Overrides
    push route "192.168.Х.0 255.255.255.0"

    192.168.Х.0 - сеть удаленного филиала

    Как передать/подсунуть в каждый офис сертификаты? (как настроить клиентов?)
    Файлы сертификатов - обычные текстовые файлы. Открыть блокнотом и Copy\Paste

    Где у Pfsense лежат ф-лы от openvpn ?
    /var/etc/openvpn
    /var/etc/openvpn-csc

    Но прямое их редактирование не имеет смысла, для дополнительных директив openvpn используйте поля Advanced configuration на сервере или клиенте, разделяя директивы символом ;



  • Так и сделал!

    На клиентах в Advanced configuration
    route 192.168.Х.0 255.255.255.0

    Спасибо большое :)



  • Помогите пожалуйста разобраться:
    создан OpenVPN server (site-to-site) сетка LAN 192.168.1.0
    клиент в другом офисе подключается и все работает LAN 192.168.2.0

    вопрос такой: если со стороны сервера имеется еще одна сетка (например 192.168.5.0) а у клиента еще одна сетка 192.168.6.0. и мне нужно их связать. их можно запихать в один тунель, или мне для этого нужно создавать еще один  openVPN server?



  • @Stas1k:

    Помогите пожалуйста разобраться:
    создан OpenVPN server (site-to-site) сетка LAN 192.168.1.0
    клиент в другом офисе подключается и все работает LAN 192.168.2.0

    вопрос такой: если со стороны сервера имеется еще одна сетка (например 192.168.5.0) а у клиента еще одна сетка 192.168.6.0. и мне нужно их связать. их можно запихать в один тунель, или мне для этого нужно создавать еще один  openVPN server?

    Можно

    route 192.168.5.0 255.255.255.0;
    push "route 192.168.0.0 255.255.255.0"route 192.168.0.0 255.255.255.0;
    push "route 192.168.5.0 255.255.255.0";

    Не знаю только как FW на это отреагирует…



  • 1. У вас сеть 192.168.5.0 с сервером pfsense как связана ? Как вторая ?

    если со стороны сервера имеется еще одна сетка (например 192.168.5.0)

    На клиенте в настройке Advanced:

    route 192.168.5.0 255.255.255.0;
    

    2. Что у клиента в кач-ве OpenVPN-сервиса ? Тоже pfsense или что-то другое?

    а у клиента еще одна сетка 192.168.6.0

    На сервере в настройке Advanced:

    route 192.168.6.0 255.255.255.0;
    

    И во вкладке Client specific overrides :

    iroute 192.168.6.0;
    


  • @werter:

    1. У вас сеть 192.168.5.0 с сервером pfsense как связана ? Как вторая ?

    если со стороны сервера имеется еще одна сетка (например 192.168.5.0)

    На клиенте в настройке Advanced:

    route 192.168.5.0 255.255.255.0;
    

    2. Что у клиента в кач-ве OpenVPN-сервиса ? Тоже pfsense или что-то другое?

    а у клиента еще одна сетка 192.168.6.0

    На сервере в настройке Advanced:

    route 192.168.6.0 255.255.255.0;
    

    И во вкладке Client specific overrides :

    iroute 192.168.6.0;
    

    c обоих сторон pfsense

    сетки вторые - просто еще один интерфейс с обоих сторон



  • Описал выше. Дерзайте. И про правила fw не забывайте.