Объединение 3-х офисов по VPN

Aver

Доброго времени суток!
Нужна помощь знатоков!
Встала задача объединить три удаленных офиса в одну сеть.
Теперь по подробней:
Начну с начала есть офис 1 и офис 2, в каждом офисе свой интернет провайдер со статический ip. Между офисами поднят VLAN в 100mb от провайдера №1, на влане поднят IPsec. И с этим проблем нет, офисы видят друг друга файлики бегают.
Появился офис 3, между офисом 3 и офисом 2 организован VLAN от провайдера №2, так как не было возможности организовать влан от провайдера №1. Между офисом 3 и офисом 2 так же поднимаю IPsec и файлики бегают, но проблема в том что из офиса 3 мне нужно попадать в офис 1 через офис 2. Вот такая схемка.
Как лучше сделать такое? Вланы необходимо шифровать.
Пробовал с помощью OpenVPN, что бы можно было указать шлюз через который можно ходить в офис 1. Но не получилось. Даже пинги не ходять. В правилах вроде бы все разрешено.

Офис 1:
ip 192.168.0.0/24
Vlan ip 192.168.25.2

Офис 2:
ip 192.168.88.0/24
Vlan ip 192.168.25.1 (Провайдер №1)
Vlan ip 192.168.20.1 (Провайдер №2)

Офис 3:
ip 192.168.2.0/24
Vlan ip 192.168.20.5 (Провайдер №2)

В офисе 2 поднял OpenVPN server
Server Mode Peer to Peer (Shared Key )
Protocol UDP
Device Mode tun
Interface VLAN
Local port 1194

IPv4 Tunnel Network 192.168.21.0/24
IPv4 Local Network/s 192.168.2.0/24,192.168.0.0/24
IPv4 Remote Network/s 192.168.2.0/24
Compression No Preference

В офисе 3 OpenVPN Client
Server Mode Peer to Peer (Shared Key )
Protocol UDP
Device Mode tun
Interface VLAN
Local port 1194

IPv4 Tunnel Network 192.168.21.0/24
IPv4 Local Network/s 192.168.88.0/24,192.168.0.0/24
IPv4 Remote Network/s 192.168.2.0/24
Compression No Preference

Version 2.2.4-RELEASE (amd64)
built on Sat Jul 25 19:57:37 CDT 2015
FreeBSD 10.1-RELEASE-p15

Сообщите что еще нужно для полной картины.
В прикрепленных картинках под ? ? ? ? скрывается слово Офис,
![Firewall Rules ???? 1.jpg](/public/imported_attachments/1/Firewall Rules ???? 1.jpg)
![Firewall Rules ???? 1.jpg_thumb](/public/imported_attachments/1/Firewall Rules ???? 1.jpg_thumb)
![Firewall Rules ???? 2.jpg](/public/imported_attachments/1/Firewall Rules ???? 2.jpg)
![Firewall Rules ???? 2.jpg_thumb](/public/imported_attachments/1/Firewall Rules ???? 2.jpg_thumb)
![Firewall Rules ???? 3.jpg](/public/imported_attachments/1/Firewall Rules ???? 3.jpg)
![Firewall Rules ???? 3.jpg_thumb](/public/imported_attachments/1/Firewall Rules ???? 3.jpg_thumb)
![Firewall Rules vlan OpenVPN ???? 3.jpg](/public/imported_attachments/1/Firewall Rules vlan OpenVPN ???? 3.jpg)
![Firewall Rules vlan OpenVPN ???? 3.jpg_thumb](/public/imported_attachments/1/Firewall Rules vlan OpenVPN ???? 3.jpg_thumb)
![Routing tables ???? 3.jpg](/public/imported_attachments/1/Routing tables ???? 3.jpg)
![Routing tables ???? 3.jpg_thumb](/public/imported_attachments/1/Routing tables ???? 3.jpg_thumb)
![OpenVPN Server.jpg](/public/imported_attachments/1/OpenVPN Server.jpg)
![OpenVPN Server.jpg_thumb](/public/imported_attachments/1/OpenVPN Server.jpg_thumb)
![Status OpenVPN.jpg](/public/imported_attachments/1/Status OpenVPN.jpg)
![Status OpenVPN.jpg_thumb](/public/imported_attachments/1/Status OpenVPN.jpg_thumb)

werter

Я бы не исп. p2p. Исп-те тип клиент-сервер.
Далее, для туннельной сети исп. отличную от 192.168.х.х адресацию. Что-то типа 10.10.x.x. Для наглядности и чтобы не запутаться.

И да, в настройках ОпенВПН на сервере у Вас неверно указаны remote\local сети.

Aver

@werter:

И да, в настройках ОпенВПН на сервере у Вас неверно указаны remote\local сети.

А что именно не верно?

PbIXTOP

@Aver:

В офисе 2 поднял OpenVPN server
Server Mode Peer to Peer (Shared Key )
Protocol UDP
Device Mode tun
Interface VLAN
Local port 1194

IPv4 Tunnel Network 192.168.21.0/24
IPv4 Local Network/s 192.168.2.0/24,192.168.0.0/24
IPv4 Remote Network/s 192.168.2.0/24
Compression No Preference

В офисе 3 OpenVPN Client
Server Mode Peer to Peer (Shared Key )
Protocol UDP
Device Mode tun
Interface VLAN
Local port 1194

IPv4 Tunnel Network 192.168.21.0/24
IPv4 Local Network/s 192.168.88.0/24,192.168.0.0/24
IPv4 Remote Network/s 192.168.2.0/24
Compression No Preference

Как-то странно Local и Remote сетях одно и тоже прописано
Кстати из рекомендаций еще можно посоветовать динамический обмен маршрутами между маршрутизаторами через установку того-же пакета OSPF и не надо будет с угадыванием сетей городить.

werter

2 Aver
Я бы не исп. p2p. Исп-те тип клиент-сервер.
Далее, для туннельной сети исп. отличную от 192.168.х.х адресацию. Что-то типа 10.10.x.x. Для наглядности и чтобы не запутаться.

Tano

@werter:

2 Aver
Я бы не исп. p2p. Исп-те тип клиент-сервер.
Далее, для туннельной сети исп. отличную от 192.168.х.х адресацию. Что-то типа 10.10.x.x. Для наглядности и чтобы не запутаться.

Уважаемый werter поясните пожалуйста почему не рекомендуете p2p.
У меня будет более простой вариант, без VLAN, но планировал использовать именно этот вариант.

Сейчас через p2p соединены два офиса, планирую арендованный в Германии выделенный сервер с виртуальными машинами, которые будут маршрутизироваться через PF, подключить через этот же вариант.
В будущем Pfense на выделенном сервере должна будет обслуживать в том числе и отдельных клиентов подключающих к ней по OPENVPN.
Для этих целей я уже думал настроить server - client.

werter

Добрый.
Самое 1-ое - возможность подкл. несколько клиентов, исп. один порт\сервер.

pigbrother

Хм.
Использую Peer to Peer (SSL/TLS) (офис- сервер, филиалы-клиенты) уже который год с несколькими клиентами. Для клиентов настроены Client Specific Overrides.
IMHO разница между Peer to Peer и Remote Access в основном в наборе предлагаемых pfsense наборов настроек по умолчанию.
Подключение точка-точка, вероятно, характерно для Peer to Peer (shared key), хотя было интересно попробовать в этом режиме более 1 клиента.