Маршрутизация OpenVPN



  • Уважаемые гуру, очень нужна помощь.

    Сразу скажу что я совсем не юниксоид, и pfsense вынужден использовать на работе потому что он уже стоит и через него в нашу сеть ходит куча подразделений. Проблема в том, что когда создаю новый сервер для подключения филиала, то у него неправильно автоматом прописывается маршрутизация. В настоящее время вынужден был сделать в разделе advanced вручную команду route192.168.166.0 255.255.255.0 172.16.47.2, теперь маршруты не слетают после перезагрузки, но появилась новая проблема - в таблице маршрутизации появляются (через некоторое время после перезагрузки) новые ненужные маршруты типа:```
    192.168.156.0/22 192.168.0.1 UG 0 0 1500 em0

    
    ![](http://i68.fastpic.ru/big/2014/1020/18/20ca12229ff6ecda01b174726665cc18.jpg)
    уже  голову сломал чего так? как сделать что бы маршруты автоматом создавались? или где это прописать может в каком конфигурационном файле? не нашел rc.conf (


  • Маршрут в сеть клиента указываются либо в поле "Remote Network" в настройках сервера, либо, если такого поля нет (зависит от Server Mode), так, как сделали вы, т.е. командой route в Advanced configuration. Автоматом ничего не бывает, если только вы не используете какой-нибудь демон динамической маршрутизации. Вот, кстати, "левые" маршруты в таблице очень похожи на результат работы такого демона. Они в принципе безвредны, т.к. у них маска короче и трафик все-равно идет по указанным вами статическим маршрутам. Все кроме 192.168.168.0 - в эту сеть он пойдет через 192.168.0.1, а не через туннель.
    Поэтому сначала скажите что такое 192.168.0.1, а также есть ли у вас в меню Services пакет Quagga OSPFd.



  • так дело в том что так и указана сеть в настройках сервера:

    но все равно приходится еще и отдельно прописывать маршрут.

    Посмотрел, в меню Services пакет Quagga OSPFd отсутствует. Где еще можно посмотреть причину появления левых маршрутов?



  • И все таки, что такое 192.168.0.1?



  • 192.168.0.1 Это основной шлюз



  • В качестве варианта можно предположить атаку ICMP redirect net. Входящий ICMP на LAN pfSense разрешен? Если да и любого типа, запретить, перезагрузиться и смотреть что будет.