4. Прошу помощи с OpenVPN

Прошу помощи с OpenVPN

  • S

    Добрый день, прошу помощи с OpenVPN

    Структура сети следующая.

    Центральный офис.
    Роутер на FreeBSD, он же OVPN сервер. За ним сеть 192.168.111.0/24. Сеть OVPN 192.168.25.0/24. Режим работы сервера  SSL/TLS.

    Филиал 1.
    Роутер на Kerio, OVPN клиент. За ним сеть 192.168.0.0/24

    Филиал 2.
    Роутер на FreeBSD, OVPN клиет. За ним сеть 10.100.22.0/24

    Филиал 3.
    Ранее стоял роутер на FreeBSD, OVPN клиент. За ним сеть 192.168.114.0/24
    Сейчас установлен роутер на pfSense. Сеть за ним по прежнему 192.168.114.0/24.

    Плюс десяток отдельных машин в качестве OVPN клиентов.

    Все клиенты и машины в сетях за ними видят друг друга.
    Все маршруты для клиентов выдаются сервером посредством директивы push "route…."
    iroute для клиентов тоже выдается сервером. Настройки со стороны сервера не менялись почти 2 года.

    Теперь суть проблемы.
    Проблема собственно с филиалом 3 после установки на роутер pfSense. Все машины всех сетей видят и сам роутер и сеть за ним. Роутер филиала 3 сам тоже видит все машины всех сетей. Но вот машины за этим роутером не видят никого. При этом роутер получает все нужные маршруты, они видны в таблице маршрутов. Интересный нюанс, если я в настройках клиента в разделе Remote Networks пропишу какую-нибудь удаленную сеть, например 192.168.111.0/24 или 192.168.25.0/24 то она тут же становится видна для машин сети филиала 3. Если же я в Remote Networks пропишу через запятую несколько удаленных сетей, то для сети филиала 3 будет видна только первая из прописанных сетей, последующие не видны.

    Прочитал почти все темы по OpenVPN в русскоязычном разделе, решения не нашел. Вероятно чего-то в упор не замечаю.
    Подскажите в чем может быть проблема?

    0
  • W

    Если же я в Remote Networks пропишу через запятую несколько удаленных сетей, то для сети филиала 3 будет видна только первая из прописанных сетей, последующие не видны.

    Может там точку с запятой надо как разделитель ?

    Вар .2 :
    На этой же странице настроек добавьте в Advanced директивы (внизу) :

    route 192.168.111.0 mask 255.255.255.0 ;
    route 192.168.0.0 mask 255.255.255.0 ;
    и т.д.

    0
  • S

    Точку с запятой нельзя использовать как разделитель.
    Добавление маршрутов в секции Advanced увы ничего не дает, я проверял. Кроме того, маршруты и так подбрасываются. Может стоит на что-то обратить внимание в настройках fw ?

    0
  • P

    А правила вида

    LAN
    IPv4 * LAN net * x.x.x.x/24 * * none
    IPv4 * LAN net * y.y.y.y/24         *      *      none
    где x.x.x.x/24 и y.y.y.y/24 - сети филиалов в файрволле pfSense прописаны?
    Без них у меня тоже была односторонняя видимость.

    0
  • S

    Огромное спасибо, друзья. Добавил правила fw для LAN и все забегало как надо.

    0
  • P

    Не мог бы уважаемый rubic внести пункт о создании таких правил в свои посты?
    Сюда:
    https://forum.pfsense.org/index.php?topic=58846.0
    https://forum.pfsense.org/index.php?topic=59081.0

    0
  • R

    Не мог бы. Посты имеют срок годности, после него редактировать уже нельзя))

    0
  • P

    Жаль. Вопрос возникает с удручающей регулярностью.

    0
  • P

    @rubic:

    Не мог бы. Посты имеют срок годности, после него редактировать уже нельзя))

    Тогда внести это в FAQ\шапку?

    0
Log in to reply
 

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2002 - 2019 Rubicon Communications, LLC | Privacy Policy