Прошу помощи с OpenVPN
-
Добрый день, прошу помощи с OpenVPN
Структура сети следующая.
Центральный офис.
Роутер на FreeBSD, он же OVPN сервер. За ним сеть 192.168.111.0/24. Сеть OVPN 192.168.25.0/24. Режим работы сервера SSL/TLS.Филиал 1.
Роутер на Kerio, OVPN клиент. За ним сеть 192.168.0.0/24Филиал 2.
Роутер на FreeBSD, OVPN клиет. За ним сеть 10.100.22.0/24Филиал 3.
Ранее стоял роутер на FreeBSD, OVPN клиент. За ним сеть 192.168.114.0/24
Сейчас установлен роутер на pfSense. Сеть за ним по прежнему 192.168.114.0/24.Плюс десяток отдельных машин в качестве OVPN клиентов.
Все клиенты и машины в сетях за ними видят друг друга.
Все маршруты для клиентов выдаются сервером посредством директивы push "route…."
iroute для клиентов тоже выдается сервером. Настройки со стороны сервера не менялись почти 2 года.Теперь суть проблемы.
Проблема собственно с филиалом 3 после установки на роутер pfSense. Все машины всех сетей видят и сам роутер и сеть за ним. Роутер филиала 3 сам тоже видит все машины всех сетей. Но вот машины за этим роутером не видят никого. При этом роутер получает все нужные маршруты, они видны в таблице маршрутов. Интересный нюанс, если я в настройках клиента в разделе Remote Networks пропишу какую-нибудь удаленную сеть, например 192.168.111.0/24 или 192.168.25.0/24 то она тут же становится видна для машин сети филиала 3. Если же я в Remote Networks пропишу через запятую несколько удаленных сетей, то для сети филиала 3 будет видна только первая из прописанных сетей, последующие не видны.Прочитал почти все темы по OpenVPN в русскоязычном разделе, решения не нашел. Вероятно чего-то в упор не замечаю.
Подскажите в чем может быть проблема? -
Если же я в Remote Networks пропишу через запятую несколько удаленных сетей, то для сети филиала 3 будет видна только первая из прописанных сетей, последующие не видны.
Может там точку с запятой надо как разделитель ?
Вар .2 :
На этой же странице настроек добавьте в Advanced директивы (внизу) :route 192.168.111.0 mask 255.255.255.0 ;
route 192.168.0.0 mask 255.255.255.0 ;
и т.д. -
Точку с запятой нельзя использовать как разделитель.
Добавление маршрутов в секции Advanced увы ничего не дает, я проверял. Кроме того, маршруты и так подбрасываются. Может стоит на что-то обратить внимание в настройках fw ? -
А правила вида
LAN
IPv4 * LAN net * x.x.x.x/24 * * none
IPv4 * LAN net * y.y.y.y/24 * * none
где x.x.x.x/24 и y.y.y.y/24 - сети филиалов в файрволле pfSense прописаны?
Без них у меня тоже была односторонняя видимость. -
Огромное спасибо, друзья. Добавил правила fw для LAN и все забегало как надо.
-
Не мог бы уважаемый rubic внести пункт о создании таких правил в свои посты?
Сюда:
https://forum.pfsense.org/index.php?topic=58846.0
https://forum.pfsense.org/index.php?topic=59081.0 -
Не мог бы. Посты имеют срок годности, после него редактировать уже нельзя))
-
Жаль. Вопрос возникает с удручающей регулярностью.
-
Не мог бы. Посты имеют срок годности, после него редактировать уже нельзя))
Тогда внести это в FAQ\шапку?