OVPN-клиент. Доступ к сетям за вторым OVPN-сервером



  • Пытаюсь решить тривиальную задачу.

    Имеется и прекрасно работает следующая конфигурация:
    (10.0.3.0/24)<->(10.0.2.0/24)<->(10.0.4.0/24)
    10.0.2.0/24 - pfSense + OVPN-server  Peer-to-Peer(SSL-TLS)
    10.0.3.0/24 и 10.0.4.0/24 - Mikrotik'и c OVPN-клиентами.
    Сети 10.0.3.0/24 10.0.2.0/24 10.0.4.0/24 взаимно доступны.

    На pfSense в 10.0.2.0/24 поднимаю второй сервер Remote Access (SSL-TLS+User Auth).
    Клиенты (Windows, Android, MAC) без проблем к нему  подключаются и получают доступ в 10.0.2.0/24.
    Однако сети 10.0.3.0/24 и 10.0.4.0/24 этим клиентам недоступны.

    Клиенты получают адреса

    Ethernet adapter Local Area Connection:

    Connection-specific DNS Suffix  . :
      Link-local IPv6 Address . . . . . : fe80::…
      IPv4 Address. . . . . . . . . . . : 10.11.11.6
      Subnet Mask . . . . . . . . . . . : 255.255.255.252
      Default Gateway . . . . . . . . . :

    и маршруты через
    push route "10.0.x.0 255.255.255.0"  в Client Specific Overrides

    IPv4 Route Table

    Active Routes:
    Network Destination        Netmask          Gateway      Interface  Metric
            10.0.2.0    255.255.255.0      10.11.11.5      10.11.11.6    20
            10.0.3.0    255.255.255.0      10.11.11.5      10.11.11.6    20
            10.0.4.0    255.255.255.0      10.11.11.5      10.11.11.6    20

    Таблица маршрутов pfsense,

    ovpns4 - Peer-to-Peer
    ovpns5 -  Remote Access

    Destination Gateway Flags Refs Use Mtu Netif Expire
    10.0.2.0/24 link#1 U 0 1829048365 1500 rl0
    10.0.2.111 link#1 UHS 0 0 16384 lo0
    10.0.3.0/24 10.11.12.2 UGS 0 77636 1500 ovpns4
    10.0.4.0/24 10.11.12.2 UGS 0 38324 1500 ovpns4
    10.0.5.0/24 10.11.12.2 UGS 0 0 1500 ovpns4
    10.11.11.0/24 10.11.11.2 UGS 0 18493 1500 ovpns5
    10.11.11.1 link#12 UHS 0 0 16384 lo0
    10.11.11.2 link#12 UH 0 0 1500 ovpns5
    10.11.12.0/24 10.11.12.2 UGS 0 101 1500 ovpns4
    10.11.12.1 link#11 UHS 0 0 16384 lo0
    10.11.12.2 link#11 UH 0 0 1500 ovpns4

    Правила pfsense при поднятии OVPN-сервера Remote Access не добавлялись и не менялись, т.е. остались созданные при поднятии Peer-to-Peer, за исключеним добавления правила на WAN для доступа к серверу извне.

    Сейчас клиенты подключаются к Windows-PPTP серверу в сети 10.0.2.0/24, им  доступны все сети.
    Цель - избавиться от PPTP и перевести мобильных пользователей на Open VPN.



  • Маршруты вроде на месте, а в логе firewall ничего на тему нет?



  • Смотрите таблицы марш-ции на проблемных клиентах при поднятом впн-канале.

    P.s. Наверное в 100% раз напоминаю одминам и админам (сам я где-то по-середине :) ) о существовании такой команды как tracert*traceroute*. Оч. выручает в плане понять, где теряются пакеты.



  • Вопрос решен. Тривиальная задача - тривиальное решение.

    Микротики - клиенты OVPN-server  Peer-to-Peer ничего не знали о сети 10.11.11.0/24, адреса из которой получают клиенты сервера  Remote Access.

    Добавляем маршрут:

    /ip route
    add comment=" " distance=20 dst-address=10.11.11.0/24 gateway=ovpn-out1 scope=10

    где
    ovpn-out1 - интерфейс Микротика к OVPN-server  Peer-to-Peer

    Смотрите таблицы марш-ции на проблемных клиентах при поднятом впн-канале.
    Пример таблицы с корректными маршрутами приведен в 1-м посте

    существовании такой команды как tracert\traceroute
    tracert, насколько помнится, "проваливался" на первом IP "серверного" конца туннеля, дальше шло сплошное


    Маршруты вроде на месте, а в логе firewall ничего на тему нет?
    Включение лога как раз и показало, что пакеты в нужные сети уходят, это подсказало, что проблема не в pFsense.
    Жаль, что не прочитал ваш пост раньше, пришлось думать самому ;)


Log in to reply