OVPN-клиент. Доступ к сетям за вторым OVPN-сервером
-
Пытаюсь решить тривиальную задачу.
Имеется и прекрасно работает следующая конфигурация:
(10.0.3.0/24)<->(10.0.2.0/24)<->(10.0.4.0/24)
10.0.2.0/24 - pfSense + OVPN-server Peer-to-Peer(SSL-TLS)
10.0.3.0/24 и 10.0.4.0/24 - Mikrotik'и c OVPN-клиентами.
Сети 10.0.3.0/24 10.0.2.0/24 10.0.4.0/24 взаимно доступны.На pfSense в 10.0.2.0/24 поднимаю второй сервер Remote Access (SSL-TLS+User Auth).
Клиенты (Windows, Android, MAC) без проблем к нему подключаются и получают доступ в 10.0.2.0/24.
Однако сети 10.0.3.0/24 и 10.0.4.0/24 этим клиентам недоступны.Клиенты получают адреса
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . :
Link-local IPv6 Address . . . . . : fe80::…
IPv4 Address. . . . . . . . . . . : 10.11.11.6
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . :и маршруты через
push route "10.0.x.0 255.255.255.0" в Client Specific OverridesIPv4 Route Table
Active Routes:
Network Destination Netmask Gateway Interface Metric
10.0.2.0 255.255.255.0 10.11.11.5 10.11.11.6 20
10.0.3.0 255.255.255.0 10.11.11.5 10.11.11.6 20
10.0.4.0 255.255.255.0 10.11.11.5 10.11.11.6 20Таблица маршрутов pfsense,
ovpns4 - Peer-to-Peer
ovpns5 - Remote AccessDestination Gateway Flags Refs Use Mtu Netif Expire
10.0.2.0/24 link#1 U 0 1829048365 1500 rl0
10.0.2.111 link#1 UHS 0 0 16384 lo0
10.0.3.0/24 10.11.12.2 UGS 0 77636 1500 ovpns4
10.0.4.0/24 10.11.12.2 UGS 0 38324 1500 ovpns4
10.0.5.0/24 10.11.12.2 UGS 0 0 1500 ovpns4
10.11.11.0/24 10.11.11.2 UGS 0 18493 1500 ovpns5
10.11.11.1 link#12 UHS 0 0 16384 lo0
10.11.11.2 link#12 UH 0 0 1500 ovpns5
10.11.12.0/24 10.11.12.2 UGS 0 101 1500 ovpns4
10.11.12.1 link#11 UHS 0 0 16384 lo0
10.11.12.2 link#11 UH 0 0 1500 ovpns4Правила pfsense при поднятии OVPN-сервера Remote Access не добавлялись и не менялись, т.е. остались созданные при поднятии Peer-to-Peer, за исключеним добавления правила на WAN для доступа к серверу извне.
Сейчас клиенты подключаются к Windows-PPTP серверу в сети 10.0.2.0/24, им доступны все сети.
Цель - избавиться от PPTP и перевести мобильных пользователей на Open VPN. -
Маршруты вроде на месте, а в логе firewall ничего на тему нет?
-
Смотрите таблицы марш-ции на проблемных клиентах при поднятом впн-канале.
P.s. Наверное в 100% раз напоминаю одминам и админам (сам я где-то по-середине :) ) о существовании такой команды как tracert*traceroute*. Оч. выручает в плане понять, где теряются пакеты.
-
Вопрос решен. Тривиальная задача - тривиальное решение.
Микротики - клиенты OVPN-server Peer-to-Peer ничего не знали о сети 10.11.11.0/24, адреса из которой получают клиенты сервера Remote Access.
Добавляем маршрут:
/ip route
add comment=" " distance=20 dst-address=10.11.11.0/24 gateway=ovpn-out1 scope=10где
ovpn-out1 - интерфейс Микротика к OVPN-server Peer-to-PeerСмотрите таблицы марш-ции на проблемных клиентах при поднятом впн-канале.
Пример таблицы с корректными маршрутами приведен в 1-м постесуществовании такой команды как tracert\traceroute
tracert, насколько помнится, "проваливался" на первом IP "серверного" конца туннеля, дальше шло сплошное
Маршруты вроде на месте, а в логе firewall ничего на тему нет?
Включение лога как раз и показало, что пакеты в нужные сети уходят, это подсказало, что проблема не в pFsense.
Жаль, что не прочитал ваш пост раньше, пришлось думать самому ;)