OpenVPN + Lan (шлюз для клиентов, ping) [Решено]



  • Добрый день. Знаниями не похвастаться, потому прошу помощи. У меня стоит pfsense в офисной сети как шлюз (все как обычно - одна сетевая карта в сеть, другая в интернет), с этим проблем нет. Стоит задача организовать доступ к локальной сети из другого места по VPN-каналу, не нарушая действующую схему работы. С этим тоже проблем нет. Проблема в том, что при подключении к этой сети внешнего клиента, у того при получении ip-адреса нет шлюза, и указан неверно DHCP-сервер, должен быть 192.168.101.254 (не увидел, где его можно указать):



    Это можно решить вручную прописав нужное у клиента, но это неправильный путь


    Как результат, сеть определяется как "неопознанная", не то что бы сильно страшно, но есть пара неудобных моментов. Доступ к самой сети вроде как есть, но не идет пинг от vpn-клиента к lan-клиентам и обратно. Так же vpn-клиент видит удаленную сеть, но из этой сети его не видно в списке.


    Это вид vpn-клиента (сам клиент выделен):


    Это вид внутри сети:


    Настройки правил:




    Настройки сервера openVPN:



    Создан интерфейс VPN (для создания моста с lan-сетью):


    Ну и собственно мост (без дополнительных настроек):


    Клиентов подключаю с помощью установленного пакета Client Export Utility:



  • Отдельно не надо создавать интерфейс для OpenVPN. Удалите его (VPN).
    Правилах fw на OpenVPN разрешите всё (не только tcp\udp).

    И зачем Вам tap ?



  • Извиняюсь, что поздно (ПТ, выходные, да дела в ПН как-то не давали возможности вернуться к вопросу).

    Итак.

    Убрал интерфейс, доступа к сети вовсе не стало. В правилах разрешил все. Tap использую для создания моста между сетями :)

    UPD. Проблема частично решена - пошел пинг к другим клиентам Lan-сети. Нужно было использовать только эту правку:

    Правилах fw на OpenVPN разрешите всё (не только tcp\udp).

    Спасибо за помощь ^^

    Осталось заставить клиентам VPN автоматически назначать шлюз 192.168.101.254, иначе опять неопознанная сеть

    UPD2. Проблему победил полностью. Оказалось, нужно было удалить диапазон адресов DHCP для клиентов VPN. Тогда адрес будет выдаваться на интерфейсе VPN, а поскольку он настроен на мост с интерфейсом Lan, то следовательно выдача адресов будет производиться на интерфейсе Lan, что мне и нужно было.

    Результат удовлетворительный:


Log in to reply