Маршрутизация

sirota

Уже какой день бьюсь. Сеть в организации очень запущена. Черт ногу сломит. НО суть такова:
172.168.0.0/24 - верхняя в иерархии сеть. (мы не управляем этой сетью. Есть наши подрядчики, но по условиям договора мы эту сеть ни коим образом ни как и что и куда в ней будет известно одному богу, они по факту подчиняются нашему минестерству) В этой сети стоит pfsense (wan-172.168.0.50)
Потом есть еще 4 подсети:
1. 192.168.0.0/24 (в этой сети тот же pfsense 192.168.0.2)
2. 10.100.18.0/24 (Тут windows сервер с lan 10.100.18.100 и wan 172.168.0.10)
3. 10.100.19.0/24 (как тут что образуется не известно, знаю точно будут стоять управляемые маршрутизаторы и как я понимаю с поддержкой openvpn, эту чать сети еще в глаза ни кто не видел и ее точную конфу ни кто не знает, ее так же делает субподряд с пожизненм обслуживанеим. Скорее всего так же выпрут ее в 172.168.0.0 через vpn)
4. 10.100.12.0/24 так же как и с 3-ей
В верхней доступ должен быть только в инет (в ней инет напрямую с маршрутизатора).
Остлаьные:
1 - доступ в 2, 3 и 4
2 - доступ к 1-ой и 2, 3 + инет
3 и 4 сети должны  иметь доступ только ко второй + инет.

3 и 4 пока не интересуют, да и вродеэто у меня полуичлось реализовать.
Все решил делать через OpenVPN peer to peer. ВО первых 3 и 4 подсети будут расоплогать удаленно пробрасываться к нам через инет.
Проблемы со второй. и 1-ой. Получилось так что из 2-ой я уже могу попадать в первую. Там легко. + маршрутизация на виндовом сервере (он же dhcp сервер и dns для второй подсети). Но вот доступ из 1-ой сети во вторую… Ни как. Вообще не допру, я в сетях валенок скажем так. Из первой сети интерфейс клиенский vpn (10.0.8.6) пингую, а дальше ни как. Есть делаю pathping 10.100.18.100 то ухадит на 192.168.0.2 и дальше тухляк. Как быть? Заранее благодарю.

rubic

Дайте что ли Diagnostics -> Routes с pfSense и что у вас в OpenVPN -> Client Specific Override

sirota

@rubic:

Дайте что ли Diagnostics -> Routes с pfSense и что у вас в OpenVPN -> Client Specific Override

Как-то так.
Ах да. Перепутал не peer to peer а RemoteAccess SSL/TLS + UserAuth.

rubic

@sirota:

Ах да. Перепутал не peer to peer а RemoteAccess SSL/TLS + UserAuth.

Ну, так этот режим и не предназначен для того чтобы было видно сеть за клиентом. Предполагается, что ее нет, а клиент - это просто одиночный комп. Поэтому и маршрут в 10.100.18.0/24 у вас в таблице отсутствует.
Пробуйте в Advanced configuration OpenVPN сервера вписать route 10.100.18.0 255.255.255.0 или меняйте режим на peer to peer.

sirota

@rubic:

@sirota:

Ах да. Перепутал не peer to peer а RemoteAccess SSL/TLS + UserAuth.

Ну, так этот режим и не предназначен для того чтобы было видно сеть за клиентом. Предполагается, что ее нет, а клиент - это просто одиночный комп. Поэтому и маршрут в 10.100.18.0/24 у вас в таблице отсутствует.
Пробуйте в Advanced configuration OpenVPN сервера вписать route 10.100.18.0 255.255.255.0 или меняйте режим на peer to peer.

Хоть с route хоть без, но легче не стало. ПОсле того как поменял peer to peer и вписал удаленную сеть действительно появился маршрут. НО почему-то через 10,0,8,2, его я ни как не могу пингануть, есть только 10.0.8.1 (это пфсен) и 10.0.8.6 - клиент.
ПРи попытки пинга 10.100.18.100 (сервер который подключен к нфсенсу через опенвпн) получаю следующее:

Трассировка маршрута к 10.100.18.100 с максимальным числом переходов 30

0  hell-notebook.localdomain [192.168.0.13]
  1  pfsense.localdomain [192.168.0.2]
  2    *        *        *

C:\Users\Administrator>ROUTE PRINT

Список интерфейсов
22 …00 ff 9a 9c ff 7d ...... TAP-Windows Adapter V9
12 ...94 de 80 0e 35 3b ...... Qualcomm Atheros AR8161/8165 PCI-E Gigabit Ether
net Controller
10 ...c8 be 19 27 d1 43 ...... D-Link DGE-528T Gigabit Ethernet Adapter
13 ...7a 79 19 73 2e 7a ...... Hamachi Network Interface
  1 ........................... Software Loopback Interface 1
14 ...00 00 00 00 00 00 00 e0  isatap.{8A773082-37C3-4E3B-A7F2-50670F5510AC}
16 ...00 00 00 00 00 00 00 e0  Microsoft ISATAP Adapter #30
11 ...02 00 54 55 4e 01 ...... Teredo Tunneling Pseudo-Interface
15 ...00 00 00 00 00 00 00 e0  isatap.{110619A2-31F0-4816-A19A-42093FDBD7D6}
23 ...00 00 00 00 00 00 00 e0  Microsoft ISATAP Adapter #33

IPv4 таблица маршрута

Активные маршруты:
Сетевой адрес          Маска сети      Адрес шлюза      Интерфейс  Метрика
          0.0.0.0          0.0.0.0      172.168.0.2    172.168.0.10    276
          0.0.0.0          0.0.0.0        25.0.0.1    25.115.46.122  9256
        10.0.8.1  255.255.255.255        10.0.8.5        10.0.8.6    20
        10.0.8.4  255.255.255.252        On-link          10.0.8.6    276
        10.0.8.6  255.255.255.255        On-link          10.0.8.6    276
        10.0.8.7  255.255.255.255        On-link          10.0.8.6    276
      10.100.18.0    255.255.255.0        On-link    10.100.18.100    266
    10.100.18.100  255.255.255.255        On-link    10.100.18.100    266
    10.100.18.255  255.255.255.255        On-link    10.100.18.100    266
        25.0.0.0        255.0.0.0        On-link    25.115.46.122  9256
    25.115.46.122  255.255.255.255        On-link    25.115.46.122  9256
  25.255.255.255  255.255.255.255        On-link    25.115.46.122  9256
        127.0.0.0        255.0.0.0        On-link        127.0.0.1    306
        127.0.0.1  255.255.255.255        On-link        127.0.0.1    306
  127.255.255.255  255.255.255.255        On-link        127.0.0.1    306
      172.168.0.0    255.255.255.0        On-link      172.168.0.10    276
    172.168.0.10  255.255.255.255        On-link      172.168.0.10    276
    172.168.0.255  255.255.255.255        On-link      172.168.0.10    276
      192.168.0.0    255.255.255.0        10.0.8.5        10.0.8.6    20
        224.0.0.0        240.0.0.0        On-link        127.0.0.1    306
        224.0.0.0        240.0.0.0        On-link      172.168.0.10    276
        224.0.0.0        240.0.0.0        On-link    10.100.18.100    266
        224.0.0.0        240.0.0.0        On-link    25.115.46.122  9256
        224.0.0.0        240.0.0.0        On-link          10.0.8.6    276
  255.255.255.255  255.255.255.255        On-link        127.0.0.1    306
  255.255.255.255  255.255.255.255        On-link      172.168.0.10    276
  255.255.255.255  255.255.255.255        On-link    10.100.18.100    266
  255.255.255.255  255.255.255.255        On-link    25.115.46.122  9256
  255.255.255.255  255.255.255.255        On-link          10.0.8.6    276

Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0      172.168.0.2  По умолчанию
          0.0.0.0          0.0.0.0        25.0.0.1  По умолчанию

IPv6 таблица маршрута

Активные маршруты:
Метрика  Сетевой адрес            Шлюз
13  9020 ::/0                    2620:9b::1900:1
  1    306 ::1/128                  On-link
13    276 2620:9b::/96            On-link
13    276 2620:9b::1973:2e7a/128  On-link
10    276 fe80::/64                On-link
12    266 fe80::/64                On-link
13    276 fe80::/64                On-link
13    276 fe80::3121:2b6d:fd5:9ced/128
                                    On-link
10    276 fe80::71ba:f04:413c:8c8/128
                                    On-link
12    266 fe80::e9b9:9f18:af00:dbe3/128
                                    On-link
  1    306 ff00::/8                On-link
10    276 ff00::/8                On-link
12    266 ff00::/8                On-link
13    276 ff00::/8                On-link

Постоянные маршруты:
Метрика  Сетевой адрес            Шлюз
  0 4294967295 2620:9b::/96            On-link
  0  9000 ::/0                    2620:9b::1900:1

rubic

10.0.8.2 и 10.0.8.5 - это адреса виртуального маршрутизатора, они  не пингуются. С маршрутизацией на обоих концах все вроде нормально, так что смотрите правила LAN pfSense и брандмауэр/антивирус на виндовом сервере.