Прошу помощи с OpenVPN

Shoar

Добрый день, прошу помощи с OpenVPN

Структура сети следующая.

Центральный офис.
Роутер на FreeBSD, он же OVPN сервер. За ним сеть 192.168.111.0/24. Сеть OVPN 192.168.25.0/24. Режим работы сервера  SSL/TLS.

Филиал 1.
Роутер на Kerio, OVPN клиент. За ним сеть 192.168.0.0/24

Филиал 2.
Роутер на FreeBSD, OVPN клиет. За ним сеть 10.100.22.0/24

Филиал 3.
Ранее стоял роутер на FreeBSD, OVPN клиент. За ним сеть 192.168.114.0/24
Сейчас установлен роутер на pfSense. Сеть за ним по прежнему 192.168.114.0/24.

Плюс десяток отдельных машин в качестве OVPN клиентов.

Все клиенты и машины в сетях за ними видят друг друга.
Все маршруты для клиентов выдаются сервером посредством директивы push "route…."
iroute для клиентов тоже выдается сервером. Настройки со стороны сервера не менялись почти 2 года.

Теперь суть проблемы.
Проблема собственно с филиалом 3 после установки на роутер pfSense. Все машины всех сетей видят и сам роутер и сеть за ним. Роутер филиала 3 сам тоже видит все машины всех сетей. Но вот машины за этим роутером не видят никого. При этом роутер получает все нужные маршруты, они видны в таблице маршрутов. Интересный нюанс, если я в настройках клиента в разделе Remote Networks пропишу какую-нибудь удаленную сеть, например 192.168.111.0/24 или 192.168.25.0/24 то она тут же становится видна для машин сети филиала 3. Если же я в Remote Networks пропишу через запятую несколько удаленных сетей, то для сети филиала 3 будет видна только первая из прописанных сетей, последующие не видны.

Прочитал почти все темы по OpenVPN в русскоязычном разделе, решения не нашел. Вероятно чего-то в упор не замечаю.
Подскажите в чем может быть проблема?

werter

Если же я в Remote Networks пропишу через запятую несколько удаленных сетей, то для сети филиала 3 будет видна только первая из прописанных сетей, последующие не видны.

Может там точку с запятой надо как разделитель ?

Вар .2 :
На этой же странице настроек добавьте в Advanced директивы (внизу) :

route 192.168.111.0 mask 255.255.255.0 ;
route 192.168.0.0 mask 255.255.255.0 ;
и т.д.

Shoar

Точку с запятой нельзя использовать как разделитель.
Добавление маршрутов в секции Advanced увы ничего не дает, я проверял. Кроме того, маршруты и так подбрасываются. Может стоит на что-то обратить внимание в настройках fw ?

pigbrother

А правила вида

LAN
IPv4 * LAN net * x.x.x.x/24 * * none
IPv4 * LAN net * y.y.y.y/24         *      *      none
где x.x.x.x/24 и y.y.y.y/24 - сети филиалов в файрволле pfSense прописаны?
Без них у меня тоже была односторонняя видимость.

Shoar

Огромное спасибо, друзья. Добавил правила fw для LAN и все забегало как надо.

pigbrother

Не мог бы уважаемый rubic внести пункт о создании таких правил в свои посты?
Сюда:
https://forum.pfsense.org/index.php?topic=58846.0
https://forum.pfsense.org/index.php?topic=59081.0

rubic

Не мог бы. Посты имеют срок годности, после него редактировать уже нельзя))

pigbrother

Жаль. Вопрос возникает с удручающей регулярностью.

pigbrother

@rubic:

Не мог бы. Посты имеют срок годности, после него редактировать уже нельзя))

Тогда внести это в FAQ\шапку?