Доступ в Lan сеть за виртуальным ip через OpenVPN



  • Здравствуйте прошу помощи у Гуру.

    Дано, посмотрите картинку пожалуйста.
    1. OpenVPN Сервер на pfSense В офисе - сеть LAN (192.168.0.0/24 за ним)
    2. OpenVPN Клиент на pfSense В филиале - сеть LAN1 (192.168.1.0/24 за ним)
    Соответственно openvpn между собой работает и пингуется, клиент офиса 192.168.0.100 видит клиента филиала 192.168.1.100 и на оборот.

    Далее добавляю виртуальный ip адрес 192.168.2.0/24 (Firewall - Virtuals IP) в Филиале на pfSense к LAN интерфейсу, хочу сделать две локальные сети за шлюзом в филиале.

    Необходимо:
    Что бы клиент офиса (192.168.0.100) видел клиента второй LAN Сети (за виртуальным ip) 192.168.2.100

    Что делал и что получилось:
    1. pfSense филиала пингует с виртуального адреса 192.168.2.1 клиента 192.168.2.100
    2. Клиент офиса 192.168.0.100 пингует виртуальный ip адрес pfsens филиала 192.168.2.1 через OpenVPN, а вот адрес 192.168.2.100 не пингует хоть ты тресни.
    3. Я понимаю что необходимо прописать в Firewall -> NAT -> Outbound, Разрешающее правило но что я туда только не прописывал, ни чего не помогло.
    4. Маршрут на OpenVPN Server к виртуальной локальной сети прописан, это так же подтвержается пинг 192.168.2.1 с 192.168.0.100.

    5. tcpdump -i ovpnc1 hostname 192.168.2.100, На pfsens филиала показывает что пинг запрашивается с 172.0.0.1 но не уходит обратно.
    А tcpdump -i re1 hostname 192.168.2.100 ни чего не показывает (

    Вопросы:
    1. Какой тип виртуального ip выбрать IP Alias, CARP, Proxy, ARP Other,
    2. Какое разрешающее правило приписать в Firewall -> NAT -> Outbound

    Теги: виртуальный ip, Virtuals IP, две локальные сети на одном интерфейсе, IP Alias, CARP, Proxy, ARP Other, Firewall, NAT, Outbound, OpenVPN




  • 1. Какой тип виртуального ip выбрать IP Alias, CARP, Proxy, ARP Other

    IP Alias

    2. На сервере в Адвансед директива :

    route 192.168.2.0 255.255.255.0;

    Плюс там же на сервере в доп. настройках клиента :

    iroute 192.168.2.0 255.255.255.0;

    2. Какое разрешающее правило приписать в Firewall -> NAT -> Outbound

    Попробуйте сперва оставить автомат и проверить.

    P.s. Покажите скрины правил fw на LAN и OpenVPN на сервере и клиенте.

    И таблицу маршрутизации на сервере и клиенте после правки настроек, указанных мною выше и поднятия OpenVPN.



  • @werter:

    1. Какой тип виртуального ip выбрать IP Alias, CARP, Proxy, ARP Other

    IP Alias

    Он и выбран
    @werter:

    2. На сервере в Адвансед директива :
    route 192.168.2.0 255.255.255.0;

    Директива прописана
    @werter:

    Плюс там же на сервере в доп. настройках клиента :
    iroute 192.168.2.0 255.255.255.0;

    Это то же прописано, но только в Client Specific Overrides
    С опен впн точно все в порядке так ка я могу пинговать адрес 192.168.2.1
    @werter:

    Попробуйте сперва оставить автомат и проверить.

    Пробовал не помогает
    @werter:

    P.s. Покажите скрины правил fw на LAN и OpenVPN на сервере и клиенте.

    Во вложении
    @werter:

    И таблицу маршрутизации на сервере и клиенте после правки настроек, указанных мною выше и поднятия OpenVPN.

    Всмысле роутинг показать?

    Если взять во внимание вывод tcpdump на Лан интерфейсе опен впн клиента то есть пакеты доходят до лан интерфейса re1 192.168.2.1 шлюза в филиале, то такое ощущение что лан интерфейс не пускает пакеты обратно, может мост нужно создать или какой алиас дать виртальному айпишнику или vlan






  • Получилось сделать, но только когда в качестве клиента openvpn выступал роутер linksys wrt54g на прошивке TomatoUSB, как сделал:
    1. На самом роутере был поднят виртуальный интерфейс br1 (основной br0)
    2. Правилами iptables получилось разрешить доступ во вторую сеть

    Вопрос почему на pfsense я делаю дополнительный виртуальный ip он записывается на тот же интерфейс ? (см принтскрин) как сделать что бы он прописался на отдельный интерфейс? что бы его можно было использовать в iptables?




  • Вопрос почему на pfsense я делаю дополнительный виртуальный ip он записывается на тот же интерфейс ? (см принтскрин) как сделать что бы он прописался на отдельный интерфейс? что бы его можно было использовать в iptables?

    А на какой он должен присваиваться ? Это же просто алиас.

    1. На самом роутере был поднят виртуальный интерфейс br1 (основной br0)

    Это VLAN! Не путайте Virtual IP и VLAN.

    P.s. Пропишите на LAN проблемного pf в fw правило , где в Source - 192.168.2.0\24, в destination - 192.168.0.0\24,
    а в кач-ве Gateway - OpenVPN. И поставьте его (выше) сразу после первого правила. Проверьте. И покажите скрин этих настроек.

    P.s. Возможно, что аналогичное правило прийдется нарисовать и на pf-сервере, но могу ошибаться.


Log in to reply