Доступ в Lan сеть за виртуальным ip через OpenVPN
-
Здравствуйте прошу помощи у Гуру.
Дано, посмотрите картинку пожалуйста.
1. OpenVPN Сервер на pfSense В офисе - сеть LAN (192.168.0.0/24 за ним)
2. OpenVPN Клиент на pfSense В филиале - сеть LAN1 (192.168.1.0/24 за ним)
Соответственно openvpn между собой работает и пингуется, клиент офиса 192.168.0.100 видит клиента филиала 192.168.1.100 и на оборот.Далее добавляю виртуальный ip адрес 192.168.2.0/24 (Firewall - Virtuals IP) в Филиале на pfSense к LAN интерфейсу, хочу сделать две локальные сети за шлюзом в филиале.
Необходимо:
Что бы клиент офиса (192.168.0.100) видел клиента второй LAN Сети (за виртуальным ip) 192.168.2.100Что делал и что получилось:
1. pfSense филиала пингует с виртуального адреса 192.168.2.1 клиента 192.168.2.100
2. Клиент офиса 192.168.0.100 пингует виртуальный ip адрес pfsens филиала 192.168.2.1 через OpenVPN, а вот адрес 192.168.2.100 не пингует хоть ты тресни.
3. Я понимаю что необходимо прописать в Firewall -> NAT -> Outbound, Разрешающее правило но что я туда только не прописывал, ни чего не помогло.
4. Маршрут на OpenVPN Server к виртуальной локальной сети прописан, это так же подтвержается пинг 192.168.2.1 с 192.168.0.100.5. tcpdump -i ovpnc1 hostname 192.168.2.100, На pfsens филиала показывает что пинг запрашивается с 172.0.0.1 но не уходит обратно.
А tcpdump -i re1 hostname 192.168.2.100 ни чего не показывает (Вопросы:
1. Какой тип виртуального ip выбрать IP Alias, CARP, Proxy, ARP Other,
2. Какое разрешающее правило приписать в Firewall -> NAT -> OutboundТеги: виртуальный ip, Virtuals IP, две локальные сети на одном интерфейсе, IP Alias, CARP, Proxy, ARP Other, Firewall, NAT, Outbound, OpenVPN
-
1. Какой тип виртуального ip выбрать IP Alias, CARP, Proxy, ARP Other
IP Alias
2. На сервере в Адвансед директива :
route 192.168.2.0 255.255.255.0;
Плюс там же на сервере в доп. настройках клиента :
iroute 192.168.2.0 255.255.255.0;
2. Какое разрешающее правило приписать в Firewall -> NAT -> Outbound
Попробуйте сперва оставить автомат и проверить.
P.s. Покажите скрины правил fw на LAN и OpenVPN на сервере и клиенте.
И таблицу маршрутизации на сервере и клиенте после правки настроек, указанных мною выше и поднятия OpenVPN.
-
1. Какой тип виртуального ip выбрать IP Alias, CARP, Proxy, ARP Other
IP Alias
Он и выбран
@werter:2. На сервере в Адвансед директива :
route 192.168.2.0 255.255.255.0;Директива прописана
@werter:Плюс там же на сервере в доп. настройках клиента :
iroute 192.168.2.0 255.255.255.0;Это то же прописано, но только в Client Specific Overrides
С опен впн точно все в порядке так ка я могу пинговать адрес 192.168.2.1
@werter:Попробуйте сперва оставить автомат и проверить.
Пробовал не помогает
@werter:P.s. Покажите скрины правил fw на LAN и OpenVPN на сервере и клиенте.
Во вложении
@werter:И таблицу маршрутизации на сервере и клиенте после правки настроек, указанных мною выше и поднятия OpenVPN.
Всмысле роутинг показать?
Если взять во внимание вывод tcpdump на Лан интерфейсе опен впн клиента то есть пакеты доходят до лан интерфейса re1 192.168.2.1 шлюза в филиале, то такое ощущение что лан интерфейс не пускает пакеты обратно, может мост нужно создать или какой алиас дать виртальному айпишнику или vlan
-
Получилось сделать, но только когда в качестве клиента openvpn выступал роутер linksys wrt54g на прошивке TomatoUSB, как сделал:
1. На самом роутере был поднят виртуальный интерфейс br1 (основной br0)
2. Правилами iptables получилось разрешить доступ во вторую сетьВопрос почему на pfsense я делаю дополнительный виртуальный ip он записывается на тот же интерфейс ? (см принтскрин) как сделать что бы он прописался на отдельный интерфейс? что бы его можно было использовать в iptables?
-
Вопрос почему на pfsense я делаю дополнительный виртуальный ip он записывается на тот же интерфейс ? (см принтскрин) как сделать что бы он прописался на отдельный интерфейс? что бы его можно было использовать в iptables?
А на какой он должен присваиваться ? Это же просто алиас.
1. На самом роутере был поднят виртуальный интерфейс br1 (основной br0)
Это VLAN! Не путайте Virtual IP и VLAN.
P.s. Пропишите на LAN проблемного pf в fw правило , где в Source - 192.168.2.0\24, в destination - 192.168.0.0\24,
а в кач-ве Gateway - OpenVPN. И поставьте его (выше) сразу после первого правила. Проверьте. И покажите скрин этих настроек.P.s. Возможно, что аналогичное правило прийдется нарисовать и на pf-сервере, но могу ошибаться.