Маршрутизация OpenVPN в OpenVPN



  • Всё, на картинке, так не получилось, думаю дело в портах ? Как их открыть и т.д ?)



  • А что с ней не так?



  • @Groof:

    А что с ней не так?

    Трасировка, от 192.168.100.113 не проходит до 192.168.5.111
    Выглядит это как то так:
    traceroute
    1 10.0.12.1 2.29 2.42 2.33
    2 *
    3 *
    4 *
    5 *
    Клиенты знают об удалённых сетях и о центральной тоже




  • Таблицу маршрутизации сюда с pfsense и что там с правилами firewall для Lan  в сторону x.5.x x.100.x



  • @Groof:

    Таблицу маршрутизации сюда с pfsense и что там с правилами firewall для Lan  в сторону x.5.x x.100.x

    Если что то не так, подскажите что куда прописать )






  • Скрин правил fw на OpenVPN.



  • @werter:

    Скрин правил fw на OpenVPN.

    Вот:




  • Зачем у Вас в LAN стоит
    IPv4 * LAN net * 192.168.40.0/24 * * none   ?

    Если уж на то пошло то исходя из первого поста у вас должно быть

    IPv4 * LAN net * 192.168.5.0/24 * * none  
    IPv4 * LAN net * 192.168.100.0/24 * * none

    Зачем в Ovpn у вас одно и тоже 2 раза?

    Еще вот здесь http://it-pedia.com/index.php?title=PfSense_%2B_DSR прочтите для указания правильных команд



  • @KARLAGIN:

    Зачем у Вас в LAN стоит
    IPv4 * LAN net * 192.168.40.0/24 * * none   ?

    Если уж на то пошло то исходя из первого поста у вас должно быть

    IPv4 * LAN net * 192.168.5.0/24 * * none  
    IPv4 * LAN net * 192.168.100.0/24 * * none

    Зачем в Ovpn у вас одно и тоже 2 раза?

    Тестировал, что то давно забыл удалить

    IPv4 * LAN net * 192.168.5.0/24 * * none  
    IPv4 * LAN net * 192.168.100.0/24 * * none  
    так тоже не работает



  • Упс, пардон, забыл добавить задача немного в другом, ну вы понели.. )
    нужно с 192.168.5.0\24 пинговать и rdp на 192.168.100.0\24 и наоборот



  • Дайте скрин Client Specific Overrides/Advanced



  • @KARLAGIN:

    Дайте скрин Client Specific Overrides/Advanced




  • Я бы настоятельно советовал убрать на сервере директивы push. Вместо них добавить route на каждом из клиентов в нужные для этих клиентов сети.
    Плюс, как правильно заметил предыдущий оратор, в Client Specific Overrides на сервере добавить директивы iroute в сети клиентов, указав правильные (!) Common name. И правила про правила fw не забывать, ес-но.

    P.s. Что у вас в кач-ве клиентов ?



  • @werter:

    Я бы настоятельно советовал убрать на сервере директивы push. Вместо них добавить route на каждом из клиентов в нужные для этих клиентов сети.
    Плюс, как правильно заметил предыдущий оратор, в Client Specific Overrides на сервере добавить директивы iroute в сети клиентов, указав правильные (!) Common name. И правила про правила fw не забывать, ес-но.

    P.s. Что у вас в кач-ве клиентов ?

    И так, есть два сервака OpenVPN
    1.m1      192.168.200.1 - 192.168.200.2 сеть за клиентом 192.168.5.0
    2.m12    10.0.12.1 - 10.0.12.2 Сеть за клиентом 192.168.100.0

    На первом серваке:
    route 192.168.5.0 255.255.255.0;
    route 192.168.100.0 255.255.255.0;
    тоже самое и на клиенте присутствует(tomato)

    На втором серваке:
    route 192.168.100.0 255.255.255.0;
    route 192.168.5.0 255.255.255.0;

    Client Specific Overrides на картинке, вопрос, нужно ли там указывать поле Tunnel Network

    This is the virtual network used for private communications between this client and the server expressed using CIDR (eg. 10.0.8.0/24). The first network address is assumed to be the server address and the second network address will be assigned to the client virtual interface.

    И ставить эту галку ? Redirect Gateway

    Какие правила fw ? Не как не могу понять, смотрел логи вроде не чего не блочит, клиенты tomato  ) пути знают, результат трасировок выше




  • У вас на сертификатах OpenVPN или на shared key построен?

    Покажите скрин Certificates на сервере OpenVPN (pfsense).



  • @werter:

    У вас на сертификатах OpenVPN или на shared key построен?

    Покажите скрин Certificates на сервере OpenVPN (pfsense).

    shared key на клиентах вставлен shared key
    может тим вивер ?)




  • У вас есть связь между подсетями x.5.x и x.0.x, а так же между x.x.100.x и x.x.0.x? Например пинги проходят между x.x.5.111 и x.x.0.201 и аналогично x.x.100.113 и x.x.0.201?



  • @Groof:

    У вас есть связь между подсетями x.5.x и x.0.x, а так же между x.x.100.x и x.x.0.x? Например пинги проходят между x.x.5.111 и x.x.0.201 и аналогично x.x.100.113 и x.x.0.201?

    Так ходят, а вот с x.5.x на x.x.100.x не ходят (

    вот, пинги с компьютера за pfsense  до клиентов, а вот с клиента на клиент ну совсем не как 192.168.5.111 не видит 192.168.100.113 и наоборот, трассировка загибается на ip openVPNa
    C:\Users\Админ>tracert 192.168.5.111

    Трассировка маршрута к 192.168.5.111 с максимальным числом прыжков 30

    1    <1 мс    <1 мс    <1 мс  pfsense.localdomain [192.168.0.201]
      2    21 ms    20 ms    20 ms  192.168.5.111

    Трассировка завершена.

    C:\Users\Админ>tracert 192.168.100.113

    Трассировка маршрута к 192.168.100.113 с максимальным числом прыжков 30

    1    <1 мс    <1 мс    <1 мс  pfsense.localdomain [192.168.0.201]
      2    4 ms    3 ms    3 ms  192.168.100.113

    Трассировка завершена.

    C:\Users\Админ>

    это с 192.168.5.111 до 192.168.100.113
    Hop Address Min (ms) Max (ms) Avg (ms) +/- (ms)
    1 192.168.200.1 18.97 19.13 19.04
    2 *
    3 *
    4 *
    5 *

    Это OpenVPN tunel 192.168.200.1 - по этому ip трафик ходит от клиента до pfsense, с pfsense на клиент ходят через 192.168.100.2



  • Вообще судя по этой вот картинке, можно судить что клиент знает о сетях, проблема в pfsense, но вот где эта проблема ?
    Как отключить на время fw ? Может как обычно, что то не нравится fw ? Но почему трасировка не доходит до самого pfsense 192.168.0.201 ? Или он и не должен отображаться ?




  • @Tr0tter:

    @werter:

    Я бы настоятельно советовал убрать на сервере директивы push. Вместо них добавить route на каждом из клиентов в нужные для этих клиентов сети.
    Плюс, как правильно заметил предыдущий оратор, в Client Specific Overrides на сервере добавить директивы iroute в сети клиентов, указав правильные (!) Common name. И правила про правила fw не забывать, ес-но.

    P.s. Что у вас в кач-ве клиентов ?

    И так, есть два сервака OpenVPN
    1.m1      192.168.200.1 - 192.168.200.2 сеть за клиентом 192.168.5.0
    2.m12    10.0.12.1 - 10.0.12.2 Сеть за клиентом 192.168.100.0

    На первом серваке:
    route 192.168.5.0 255.255.255.0;
    route 192.168.100.0 255.255.255.0;
    тоже самое и на клиенте присутствует(tomato)

    На втором серваке:
    route 192.168.100.0 255.255.255.0;
    route 192.168.5.0 255.255.255.0;

    Client Specific Overrides на картинке, вопрос, нужно ли там указывать поле Tunnel Network

    This is the virtual network used for private communications between this client and the server expressed using CIDR (eg. 10.0.8.0/24). The first network address is assumed to be the server address and the second network address will be assigned to the client virtual interface.

    И ставить эту галку ? Redirect Gateway

    Какие правила fw ? Не как не могу понять, смотрел логи вроде не чего не блочит, клиенты tomato  ) пути знают, результат трасировок выше

    И все таки не увидел развернутого
    Client Specific Overrides для каждого клиента , команды iroute, push должны быть как минимум не в описании



  • @Tr0tter:

    Всё, на картинке, так не получилось, думаю дело в портах ? Как их открыть и т.д ?)

    Исходя из первой картинки, то за pfsense находиться у вас сеть 192.168.0.0, так почему у вас
    это прописано:
    @Tr0tter:

    И так, есть два сервака OpenVPN
    1.m1      192.168.200.1 - 192.168.200.2 сеть за клиентом 192.168.5.0
    2.m12    10.0.12.1 - 10.0.12.2 Сеть за клиентом 192.168.100.0

    На первом серваке:
    route 192.168.5.0 255.255.255.0;
    route 192.168.100.0 255.255.255.0;
    тоже самое и на клиенте присутствует(tomato)

    На втором серваке:
    route 192.168.100.0 255.255.255.0;
    route 192.168.5.0 255.255.255.0;

    Где указана сеть 192.168.0.0?

    с учетом того что у вас:
    @Tr0tter:

    shared key на клиентах вставлен shared key

    вам дали совет
    @werter:

    Я бы настоятельно советовал убрать на сервере директивы push. Вместо них добавить route на каждом из клиентов в нужные для этих клиентов сети.

    На 192.168.5.111
    у вас должны быть маршруты в сеть:
    route 192.168.0.0 255.255.255.0;
    route 192.168.100.0 255.255.255.0;

    На 192.168.100.113
    у вас должны быть маршруты в сеть:
    route 192.168.0.0 255.255.255.0;
    route 192.168.5.0 255.255.255.0;

    Если не так поправьте и покажите таблицу маршрутизации 192.168.5.111 и 192.168.100.113



  • Вот новая схема, и новые пути но с 192.168.100.0 на 192.168.5.0 пинги не ходят
    iroute 192.168.100.0 255.255.255.0;iroute 192.168.5.0 255.255.255.0;




  • @Tr0tter:

    Вот новая схема, и новые пути но с 192.168.100.0 на 192.168.5.0 пинги не ходят
    iroute 192.168.100.0 255.255.255.0;iroute 192.168.5.0 255.255.255.0;

    Одному мне кажется, что вы используете один сертификат для разных филиалов (одинаковый common name на скриншоте)?



  • В настройках сервера есть галка по этому поводу и она установлена.



  • @werter:

    В настройках сервера есть галка по этому поводу и она установлена.

    А как насчет примечания там же:
    NOTE: This is not generally recommended

    В случае одинакового Common Name для разных клиентов (читай-подсетей за ними) сервер, вероятно, не может адекватно  обработать директиву iroute в Client Specific Override



  • Спасибо за подсказку. Есть мысля  :D