OpenVPN не работают маршруты



  • Приветствую!
    Организовал связь м/у сервером OpenVPN на pfSense и клиентом на Windows 7. Туннель работает, маршруты есть, правила на фаерволле pfSense разрешают всё, а вот пинг никуда не идёт с клиента :(
    Почему так? Где может быть косяк?



  • 1. Клиент запускается от администратора?
    2. pfSense являются шлюзом по умолчанию для пингуемых машин?
    3. Файрволл на  пингуемых машинах отключен\настроен? По умолчанию он блокирует все пакеты из других подсетей.
    4. Подсети за pfSense и в сети клиента не совпадают?

    правила на фаерволле pfSense разрешают всё
    Проверьте еще раз, что все=any, а не TCP/UDP



  • Все эти условия соблюдаются, а пинга нет… :(



  • Где-то что-то блочит, потому что даже если поставить "Redirect all VPN traffic over default gateway", то ВООБЩЕ ничего не пингается, даже google dns - 8.8.8.8. Т.е. явно, где-то что-то блочит жестко.



  • Заметил, что в логах со стороны сервера OpenVPN пишется вот такое:

    Jan 11 22:31:54	openvpn[3005]: www.test.com/x.xx.xx.xx:51445 IP packet with unknown IP version=15 seen
    Jan 11 22:32:04	openvpn[3005]: www.test.com/x.xx.xx.xx:51445 IP packet with unknown IP version=15 seen
    Jan 11 22:32:14	openvpn[3005]: www.test.com/x.xx.xx.xx:51445 IP packet with unknown IP version=15 seen
    Jan 11 22:32:24	openvpn[3005]: www.test.com/x.xx.xx.xx:51445 IP packet with unknown IP version=15 seen
    


  • Предположу несовпадение конфигов клиента и сервера (lzo?)
    https://forums.openvpn.net/topic15588.html
    http://carryflag.blogspot.com.by/2015/05/openvpn-ip-packet-with-unknown-ip.html
    Используйте для клиента пакет Client Export Utility



  • не, конфиги нормальные, они же со стороны сервера генерятся автоматом совместно с сертификатом, там всё ок, дело в чем-то другом…



  • @Electric^shock:

    не, конфиги нормальные, они же со стороны сервера генерятся автоматом совместно с сертификатом, там всё ок, дело в чем-то другом…

    Доброе.
    Скажите, а без скринов настроек Вы сами лично смогли бы помочь такому вопрошающему как Вы?



  • Приветствую!
    PfSense Server OpenVPN режим - Remote Access (SSL/TLS).
    Добился того, что OpenVPN-клиент подключается и видит/пингует сам OpenVPN-сервер (в данном случае 10.10.10.0/24 - Tunnel Network, т.е сервер 10.10.10.1 пингуется и все ОК) но дальше за этим сервером клиент ничего не видит, хоть на сервере и прописана подсеть 192.168.0.0/20 и маршрут на клиенте до неё есть, но пустота, с чем это может быть связано? Да, да, именно 20-ая маска (я не ошибся, сеть большая). В Firewall'e разрешено всё и всем на интерфейсе "OpenVPN". Логи читал, ничего там не блочится.
    Маршрут виндового клиента:

    IPv4 таблица маршрута
    ===========================================================================
    Активные маршруты:
    Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрик
              0.0.0.0          0.0.0.0     192.168.11.1   192.168.11.218     25
           10.10.10.0    255.255.255.0       10.10.10.1       10.10.10.2     20
           10.10.10.0  255.255.255.252         On-link        10.10.10.2    276
           10.10.10.2  255.255.255.255         On-link        10.10.10.2    276
           10.10.10.3  255.255.255.255         On-link        10.10.10.2    276
            127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
            127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
      127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
          192.168.0.0    255.255.240.0       10.10.10.1       10.10.10.2     20
         192.168.11.0    255.255.255.0         On-link    192.168.11.218    281
       192.168.11.218  255.255.255.255         On-link    192.168.11.218    281
       192.168.11.255  255.255.255.255         On-link    192.168.11.218    281
            224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
            224.0.0.0        240.0.0.0         On-link    192.168.11.218    281
            224.0.0.0        240.0.0.0         On-link        10.10.10.2    276
      255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      255.255.255.255  255.255.255.255         On-link    192.168.11.218    281
      255.255.255.255  255.255.255.255         On-link        10.10.10.2    276
    


  • Доброе.
    1. Схема сети.
    2. Скрины настроек.
    3. Не входит ли сеть клиента в 192.168.0.0/20 ? Какая адресация у клиента ?



  • @werter:

    Доброе.
    1. Схема сети.
    2. Скрины настроек.
    3. Не входит ли сеть клиента в 192.168.0.0/20 ? Какая адресация у клиента ?

    1. Схему pfSense и клиентских настроек прилагаю;
    2. Скрины тоже;
    3. Не входит, у клиента 192.168.50.0 (поменял).

    Еще раз route print с клиента:

    IPv4 таблица маршрута
    ===========================================================================
    Активные маршруты:
    Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
              0.0.0.0          0.0.0.0     192.168.50.1   192.168.50.218     25
           10.10.10.0    255.255.255.0       10.10.10.5       10.10.10.6     20
           10.10.10.4  255.255.255.252         On-link        10.10.10.6    276
           10.10.10.6  255.255.255.255         On-link        10.10.10.6    276
           10.10.10.7  255.255.255.255         On-link        10.10.10.6    276
            127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
            127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
      127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
          192.168.0.0    255.255.240.0       10.10.10.5       10.10.10.6     20
         192.168.50.0    255.255.255.0         On-link    192.168.50.218    281
       192.168.50.218  255.255.255.255         On-link    192.168.50.218    281
       192.168.50.255  255.255.255.255         On-link    192.168.50.218    281
            224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
            224.0.0.0        240.0.0.0         On-link    192.168.50.218    281
            224.0.0.0        240.0.0.0         On-link        10.10.10.6    276
      255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      255.255.255.255  255.255.255.255         On-link    192.168.50.218    281
      255.255.255.255  255.255.255.255         On-link        10.10.10.6    276
    ===========================================================================
    
    • Клиентский файл конфигурации OpenVPN:
    dev tun
    persist-tun
    persist-key
    cipher AES-256-CBC
    auth SHA1
    tls-client
    client
    resolv-retry infinite
    remote X.X.X.X 1197 udp
    lport 0
    verify-x509-name "server.net" name
    pkcs12 pfsense-udp-1197-mazdaspeed.p12
    tls-auth pfsense-udp-1197-mazdaspeed-tls.key 1
    ns-cert-type server
    
    










  • Ура! Заработало!
    Дело было в том, что на клиентских хостах был указан другой шлюз по умолчанию, выставил шлюзом по умолчанию IP pfSense, на котором поднял OpenVPN и все заработало!!!



  • Как теперь сделать так, чтобы OpenVPN-клиентам выдавались определенные IP-адреса, либо создать резервацию MAC+IP?
    А то что-то не нашёл там такого.



  • В гугле static ip openvpn

    P.s. Если у Вас клиенты вер. 2.3.х, можно на сервере поставить галку на Topology , чтобы при подкл. получали один ip , а не подсеть из 4-х адресов.



  • @Electric^shock:

    Как теперь сделать так, чтобы OpenVPN-клиентам выдавались определенные IP-адреса, либо создать резервацию MAC+IP?
    А то что-то не нашёл там такого.

    Не по MAC, а по common name из сертификата.
    Обсуждалось тут:
    https://forum.pfsense.org/index.php?topic=106612.msg594014#msg594014



  • @werter:

    В гугле static ip openvpn

    P.s. Если у Вас клиенты вер. 2.3.х, можно на сервере поставить галку на Topology , чтобы при подкл. получали один ip , а не подсеть из 4-ех адресов.

    Благодарю!


Log in to reply