Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Маршрутизация OpenVPN в OpenVPN

    Scheduled Pinned Locked Moved Russian
    26 Posts 5 Posters 4.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      Tr0tter
      last edited by

      @Groof:

      А что с ней не так?

      Трасировка, от 192.168.100.113 не проходит до 192.168.5.111
      Выглядит это как то так:
      traceroute
      1 10.0.12.1 2.29 2.42 2.33
      2 *
      3 *
      4 *
      5 *
      Клиенты знают об удалённых сетях и о центральной тоже

      12.png
      12.png_thumb

      1 Reply Last reply Reply Quote 0
      • G
        Groof
        last edited by

        Таблицу маршрутизации сюда с pfsense и что там с правилами firewall для Lan  в сторону x.5.x x.100.x

        1 Reply Last reply Reply Quote 0
        • T
          Tr0tter
          last edited by

          @Groof:

          Таблицу маршрутизации сюда с pfsense и что там с правилами firewall для Lan  в сторону x.5.x x.100.x

          Если что то не так, подскажите что куда прописать )

          fwlan.png
          fwlan.png_thumb
          rout.png
          rout.png_thumb

          1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by

            Скрин правил fw на OpenVPN.

            1 Reply Last reply Reply Quote 0
            • T
              Tr0tter
              last edited by

              @werter:

              Скрин правил fw на OpenVPN.

              Вот:

              fwopenvpnrules.png
              fwopenvpnrules.png_thumb

              1 Reply Last reply Reply Quote 0
              • K
                KARLAGIN
                last edited by

                Зачем у Вас в LAN стоит
                IPv4 * LAN net * 192.168.40.0/24 * * none   ?

                Если уж на то пошло то исходя из первого поста у вас должно быть

                IPv4 * LAN net * 192.168.5.0/24 * * none  
                IPv4 * LAN net * 192.168.100.0/24 * * none

                Зачем в Ovpn у вас одно и тоже 2 раза?

                Еще вот здесь http://it-pedia.com/index.php?title=PfSense_%2B_DSR прочтите для указания правильных команд

                Google help you

                1 Reply Last reply Reply Quote 0
                • T
                  Tr0tter
                  last edited by

                  @KARLAGIN:

                  Зачем у Вас в LAN стоит
                  IPv4 * LAN net * 192.168.40.0/24 * * none   ?

                  Если уж на то пошло то исходя из первого поста у вас должно быть

                  IPv4 * LAN net * 192.168.5.0/24 * * none  
                  IPv4 * LAN net * 192.168.100.0/24 * * none

                  Зачем в Ovpn у вас одно и тоже 2 раза?

                  Тестировал, что то давно забыл удалить

                  IPv4 * LAN net * 192.168.5.0/24 * * none  
                  IPv4 * LAN net * 192.168.100.0/24 * * none  
                  так тоже не работает

                  1 Reply Last reply Reply Quote 0
                  • T
                    Tr0tter
                    last edited by

                    Упс, пардон, забыл добавить задача немного в другом, ну вы понели.. )
                    нужно с 192.168.5.0\24 пинговать и rdp на 192.168.100.0\24 и наоборот

                    1 Reply Last reply Reply Quote 0
                    • K
                      KARLAGIN
                      last edited by

                      Дайте скрин Client Specific Overrides/Advanced

                      Google help you

                      1 Reply Last reply Reply Quote 0
                      • T
                        Tr0tter
                        last edited by

                        @KARLAGIN:

                        Дайте скрин Client Specific Overrides/Advanced

                        cso.png
                        cso.png_thumb

                        1 Reply Last reply Reply Quote 0
                        • werterW
                          werter
                          last edited by

                          Я бы настоятельно советовал убрать на сервере директивы push. Вместо них добавить route на каждом из клиентов в нужные для этих клиентов сети.
                          Плюс, как правильно заметил предыдущий оратор, в Client Specific Overrides на сервере добавить директивы iroute в сети клиентов, указав правильные (!) Common name. И правила про правила fw не забывать, ес-но.

                          P.s. Что у вас в кач-ве клиентов ?

                          1 Reply Last reply Reply Quote 0
                          • T
                            Tr0tter
                            last edited by

                            @werter:

                            Я бы настоятельно советовал убрать на сервере директивы push. Вместо них добавить route на каждом из клиентов в нужные для этих клиентов сети.
                            Плюс, как правильно заметил предыдущий оратор, в Client Specific Overrides на сервере добавить директивы iroute в сети клиентов, указав правильные (!) Common name. И правила про правила fw не забывать, ес-но.

                            P.s. Что у вас в кач-ве клиентов ?

                            И так, есть два сервака OpenVPN
                            1.m1      192.168.200.1 - 192.168.200.2 сеть за клиентом 192.168.5.0
                            2.m12    10.0.12.1 - 10.0.12.2 Сеть за клиентом 192.168.100.0

                            На первом серваке:
                            route 192.168.5.0 255.255.255.0;
                            route 192.168.100.0 255.255.255.0;
                            тоже самое и на клиенте присутствует(tomato)

                            На втором серваке:
                            route 192.168.100.0 255.255.255.0;
                            route 192.168.5.0 255.255.255.0;

                            Client Specific Overrides на картинке, вопрос, нужно ли там указывать поле Tunnel Network

                            This is the virtual network used for private communications between this client and the server expressed using CIDR (eg. 10.0.8.0/24). The first network address is assumed to be the server address and the second network address will be assigned to the client virtual interface.

                            И ставить эту галку ? Redirect Gateway

                            Какие правила fw ? Не как не могу понять, смотрел логи вроде не чего не блочит, клиенты tomato  ) пути знают, результат трасировок выше

                            ir.png
                            ir.png_thumb

                            1 Reply Last reply Reply Quote 0
                            • werterW
                              werter
                              last edited by

                              У вас на сертификатах OpenVPN или на shared key построен?

                              Покажите скрин Certificates на сервере OpenVPN (pfsense).

                              1 Reply Last reply Reply Quote 0
                              • T
                                Tr0tter
                                last edited by

                                @werter:

                                У вас на сертификатах OpenVPN или на shared key построен?

                                Покажите скрин Certificates на сервере OpenVPN (pfsense).

                                shared key на клиентах вставлен shared key
                                может тим вивер ?)

                                sk.png
                                sk.png_thumb

                                1 Reply Last reply Reply Quote 0
                                • G
                                  Groof
                                  last edited by

                                  У вас есть связь между подсетями x.5.x и x.0.x, а так же между x.x.100.x и x.x.0.x? Например пинги проходят между x.x.5.111 и x.x.0.201 и аналогично x.x.100.113 и x.x.0.201?

                                  1 Reply Last reply Reply Quote 0
                                  • T
                                    Tr0tter
                                    last edited by

                                    @Groof:

                                    У вас есть связь между подсетями x.5.x и x.0.x, а так же между x.x.100.x и x.x.0.x? Например пинги проходят между x.x.5.111 и x.x.0.201 и аналогично x.x.100.113 и x.x.0.201?

                                    Так ходят, а вот с x.5.x на x.x.100.x не ходят (

                                    вот, пинги с компьютера за pfsense  до клиентов, а вот с клиента на клиент ну совсем не как 192.168.5.111 не видит 192.168.100.113 и наоборот, трассировка загибается на ip openVPNa
                                    C:\Users\Админ>tracert 192.168.5.111

                                    Трассировка маршрута к 192.168.5.111 с максимальным числом прыжков 30

                                    1    <1 мс    <1 мс    <1 мс  pfsense.localdomain [192.168.0.201]
                                      2    21 ms    20 ms    20 ms  192.168.5.111

                                    Трассировка завершена.

                                    C:\Users\Админ>tracert 192.168.100.113

                                    Трассировка маршрута к 192.168.100.113 с максимальным числом прыжков 30

                                    1    <1 мс    <1 мс    <1 мс  pfsense.localdomain [192.168.0.201]
                                      2    4 ms    3 ms    3 ms  192.168.100.113

                                    Трассировка завершена.

                                    C:\Users\Админ>

                                    это с 192.168.5.111 до 192.168.100.113
                                    Hop Address Min (ms) Max (ms) Avg (ms) +/- (ms)
                                    1 192.168.200.1 18.97 19.13 19.04
                                    2 *
                                    3 *
                                    4 *
                                    5 *

                                    Это OpenVPN tunel 192.168.200.1 - по этому ip трафик ходит от клиента до pfsense, с pfsense на клиент ходят через 192.168.100.2

                                    1 Reply Last reply Reply Quote 0
                                    • T
                                      Tr0tter
                                      last edited by

                                      Вообще судя по этой вот картинке, можно судить что клиент знает о сетях, проблема в pfsense, но вот где эта проблема ?
                                      Как отключить на время fw ? Может как обычно, что то не нравится fw ? Но почему трасировка не доходит до самого pfsense 192.168.0.201 ? Или он и не должен отображаться ?

                                      tt.png
                                      tt.png_thumb

                                      1 Reply Last reply Reply Quote 0
                                      • K
                                        KARLAGIN
                                        last edited by

                                        @Tr0tter:

                                        @werter:

                                        Я бы настоятельно советовал убрать на сервере директивы push. Вместо них добавить route на каждом из клиентов в нужные для этих клиентов сети.
                                        Плюс, как правильно заметил предыдущий оратор, в Client Specific Overrides на сервере добавить директивы iroute в сети клиентов, указав правильные (!) Common name. И правила про правила fw не забывать, ес-но.

                                        P.s. Что у вас в кач-ве клиентов ?

                                        И так, есть два сервака OpenVPN
                                        1.m1      192.168.200.1 - 192.168.200.2 сеть за клиентом 192.168.5.0
                                        2.m12    10.0.12.1 - 10.0.12.2 Сеть за клиентом 192.168.100.0

                                        На первом серваке:
                                        route 192.168.5.0 255.255.255.0;
                                        route 192.168.100.0 255.255.255.0;
                                        тоже самое и на клиенте присутствует(tomato)

                                        На втором серваке:
                                        route 192.168.100.0 255.255.255.0;
                                        route 192.168.5.0 255.255.255.0;

                                        Client Specific Overrides на картинке, вопрос, нужно ли там указывать поле Tunnel Network

                                        This is the virtual network used for private communications between this client and the server expressed using CIDR (eg. 10.0.8.0/24). The first network address is assumed to be the server address and the second network address will be assigned to the client virtual interface.

                                        И ставить эту галку ? Redirect Gateway

                                        Какие правила fw ? Не как не могу понять, смотрел логи вроде не чего не блочит, клиенты tomato  ) пути знают, результат трасировок выше

                                        И все таки не увидел развернутого
                                        Client Specific Overrides для каждого клиента , команды iroute, push должны быть как минимум не в описании

                                        Google help you

                                        1 Reply Last reply Reply Quote 0
                                        • G
                                          Groof
                                          last edited by

                                          @Tr0tter:

                                          Всё, на картинке, так не получилось, думаю дело в портах ? Как их открыть и т.д ?)

                                          Исходя из первой картинки, то за pfsense находиться у вас сеть 192.168.0.0, так почему у вас
                                          это прописано:
                                          @Tr0tter:

                                          И так, есть два сервака OpenVPN
                                          1.m1      192.168.200.1 - 192.168.200.2 сеть за клиентом 192.168.5.0
                                          2.m12    10.0.12.1 - 10.0.12.2 Сеть за клиентом 192.168.100.0

                                          На первом серваке:
                                          route 192.168.5.0 255.255.255.0;
                                          route 192.168.100.0 255.255.255.0;
                                          тоже самое и на клиенте присутствует(tomato)

                                          На втором серваке:
                                          route 192.168.100.0 255.255.255.0;
                                          route 192.168.5.0 255.255.255.0;

                                          Где указана сеть 192.168.0.0?

                                          с учетом того что у вас:
                                          @Tr0tter:

                                          shared key на клиентах вставлен shared key

                                          вам дали совет
                                          @werter:

                                          Я бы настоятельно советовал убрать на сервере директивы push. Вместо них добавить route на каждом из клиентов в нужные для этих клиентов сети.

                                          На 192.168.5.111
                                          у вас должны быть маршруты в сеть:
                                          route 192.168.0.0 255.255.255.0;
                                          route 192.168.100.0 255.255.255.0;

                                          На 192.168.100.113
                                          у вас должны быть маршруты в сеть:
                                          route 192.168.0.0 255.255.255.0;
                                          route 192.168.5.0 255.255.255.0;

                                          Если не так поправьте и покажите таблицу маршрутизации 192.168.5.111 и 192.168.100.113

                                          1 Reply Last reply Reply Quote 0
                                          • T
                                            Tr0tter
                                            last edited by

                                            Вот новая схема, и новые пути но с 192.168.100.0 на 192.168.5.0 пинги не ходят
                                            iroute 192.168.100.0 255.255.255.0;iroute 192.168.5.0 255.255.255.0;

                                            maaaap.png
                                            maaaap.png_thumb

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.