OVPN-клиент. Доступ к сетям за вторым OVPN-сервером

pigbrother

Пытаюсь решить тривиальную задачу.

Имеется и прекрасно работает следующая конфигурация:
(10.0.3.0/24)<->(10.0.2.0/24)<->(10.0.4.0/24)
10.0.2.0/24 - pfSense + OVPN-server  Peer-to-Peer(SSL-TLS)
10.0.3.0/24 и 10.0.4.0/24 - Mikrotik'и c OVPN-клиентами.
Сети 10.0.3.0/24 10.0.2.0/24 10.0.4.0/24 взаимно доступны.

На pfSense в 10.0.2.0/24 поднимаю второй сервер Remote Access (SSL-TLS+User Auth).
Клиенты (Windows, Android, MAC) без проблем к нему  подключаются и получают доступ в 10.0.2.0/24.
Однако сети 10.0.3.0/24 и 10.0.4.0/24 этим клиентам недоступны.

Клиенты получают адреса

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix  . :
  Link-local IPv6 Address . . . . . : fe80::…
  IPv4 Address. . . . . . . . . . . : 10.11.11.6
  Subnet Mask . . . . . . . . . . . : 255.255.255.252
  Default Gateway . . . . . . . . . :

и маршруты через
push route "10.0.x.0 255.255.255.0"  в Client Specific Overrides

IPv4 Route Table

Active Routes:
Network Destination        Netmask          Gateway      Interface  Metric
        10.0.2.0    255.255.255.0      10.11.11.5      10.11.11.6    20
        10.0.3.0    255.255.255.0      10.11.11.5      10.11.11.6    20
        10.0.4.0    255.255.255.0      10.11.11.5      10.11.11.6    20

Таблица маршрутов pfsense,

ovpns4 - Peer-to-Peer
ovpns5 -  Remote Access

Destination Gateway Flags Refs Use Mtu Netif Expire
10.0.2.0/24 link#1 U 0 1829048365 1500 rl0
10.0.2.111 link#1 UHS 0 0 16384 lo0
10.0.3.0/24 10.11.12.2 UGS 0 77636 1500 ovpns4
10.0.4.0/24 10.11.12.2 UGS 0 38324 1500 ovpns4
10.0.5.0/24 10.11.12.2 UGS 0 0 1500 ovpns4
10.11.11.0/24 10.11.11.2 UGS 0 18493 1500 ovpns5
10.11.11.1 link#12 UHS 0 0 16384 lo0
10.11.11.2 link#12 UH 0 0 1500 ovpns5
10.11.12.0/24 10.11.12.2 UGS 0 101 1500 ovpns4
10.11.12.1 link#11 UHS 0 0 16384 lo0
10.11.12.2 link#11 UH 0 0 1500 ovpns4

Правила pfsense при поднятии OVPN-сервера Remote Access не добавлялись и не менялись, т.е. остались созданные при поднятии Peer-to-Peer, за исключеним добавления правила на WAN для доступа к серверу извне.

Сейчас клиенты подключаются к Windows-PPTP серверу в сети 10.0.2.0/24, им  доступны все сети.
Цель - избавиться от PPTP и перевести мобильных пользователей на Open VPN.

rubic

Маршруты вроде на месте, а в логе firewall ничего на тему нет?

werter

Смотрите таблицы марш-ции на проблемных клиентах при поднятом впн-канале.

P.s. Наверное в 100% раз напоминаю одминам и админам (сам я где-то по-середине :) ) о существовании такой команды как tracert*traceroute*. Оч. выручает в плане понять, где теряются пакеты.

pigbrother

Вопрос решен. Тривиальная задача - тривиальное решение.

Микротики - клиенты OVPN-server  Peer-to-Peer ничего не знали о сети 10.11.11.0/24, адреса из которой получают клиенты сервера  Remote Access.

Добавляем маршрут:

/ip route
add comment=" " distance=20 dst-address=10.11.11.0/24 gateway=ovpn-out1 scope=10

где
ovpn-out1 - интерфейс Микротика к OVPN-server  Peer-to-Peer

Смотрите таблицы марш-ции на проблемных клиентах при поднятом впн-канале.
Пример таблицы с корректными маршрутами приведен в 1-м посте

существовании такой команды как tracert\traceroute
tracert, насколько помнится, "проваливался" на первом IP "серверного" конца туннеля, дальше шло сплошное

---

Маршруты вроде на месте, а в логе firewall ничего на тему нет?
Включение лога как раз и показало, что пакеты в нужные сети уходят, это подсказало, что проблема не в pFsense.
Жаль, что не прочитал ваш пост раньше, пришлось думать самому ;)