Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    OpenVPN не работают маршруты

    Russian
    3
    16
    5638
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      Electricshock last edited by

      Приветствую!
      Организовал связь м/у сервером OpenVPN на pfSense и клиентом на Windows 7. Туннель работает, маршруты есть, правила на фаерволле pfSense разрешают всё, а вот пинг никуда не идёт с клиента :(
      Почему так? Где может быть косяк?

      1 Reply Last reply Reply Quote 0
      • P
        pigbrother last edited by

        1. Клиент запускается от администратора?
        2. pfSense являются шлюзом по умолчанию для пингуемых машин?
        3. Файрволл на  пингуемых машинах отключен\настроен? По умолчанию он блокирует все пакеты из других подсетей.
        4. Подсети за pfSense и в сети клиента не совпадают?

        правила на фаерволле pfSense разрешают всё
        Проверьте еще раз, что все=any, а не TCP/UDP

        1 Reply Last reply Reply Quote 0
        • E
          Electricshock last edited by

          Все эти условия соблюдаются, а пинга нет… :(

          1 Reply Last reply Reply Quote 0
          • E
            Electricshock last edited by

            Где-то что-то блочит, потому что даже если поставить "Redirect all VPN traffic over default gateway", то ВООБЩЕ ничего не пингается, даже google dns - 8.8.8.8. Т.е. явно, где-то что-то блочит жестко.

            1 Reply Last reply Reply Quote 0
            • E
              Electricshock last edited by

              Заметил, что в логах со стороны сервера OpenVPN пишется вот такое:

              Jan 11 22:31:54	openvpn[3005]: www.test.com/x.xx.xx.xx:51445 IP packet with unknown IP version=15 seen
              Jan 11 22:32:04	openvpn[3005]: www.test.com/x.xx.xx.xx:51445 IP packet with unknown IP version=15 seen
              Jan 11 22:32:14	openvpn[3005]: www.test.com/x.xx.xx.xx:51445 IP packet with unknown IP version=15 seen
              Jan 11 22:32:24	openvpn[3005]: www.test.com/x.xx.xx.xx:51445 IP packet with unknown IP version=15 seen
              
              1 Reply Last reply Reply Quote 0
              • P
                pigbrother last edited by

                Предположу несовпадение конфигов клиента и сервера (lzo?)
                https://forums.openvpn.net/topic15588.html
                http://carryflag.blogspot.com.by/2015/05/openvpn-ip-packet-with-unknown-ip.html
                Используйте для клиента пакет Client Export Utility

                1 Reply Last reply Reply Quote 0
                • E
                  Electricshock last edited by

                  не, конфиги нормальные, они же со стороны сервера генерятся автоматом совместно с сертификатом, там всё ок, дело в чем-то другом…

                  1 Reply Last reply Reply Quote 0
                  • werter
                    werter last edited by

                    @Electric^shock:

                    не, конфиги нормальные, они же со стороны сервера генерятся автоматом совместно с сертификатом, там всё ок, дело в чем-то другом…

                    Доброе.
                    Скажите, а без скринов настроек Вы сами лично смогли бы помочь такому вопрошающему как Вы?

                    1 Reply Last reply Reply Quote 0
                    • E
                      Electricshock last edited by

                      Приветствую!
                      PfSense Server OpenVPN режим - Remote Access (SSL/TLS).
                      Добился того, что OpenVPN-клиент подключается и видит/пингует сам OpenVPN-сервер (в данном случае 10.10.10.0/24 - Tunnel Network, т.е сервер 10.10.10.1 пингуется и все ОК) но дальше за этим сервером клиент ничего не видит, хоть на сервере и прописана подсеть 192.168.0.0/20 и маршрут на клиенте до неё есть, но пустота, с чем это может быть связано? Да, да, именно 20-ая маска (я не ошибся, сеть большая). В Firewall'e разрешено всё и всем на интерфейсе "OpenVPN". Логи читал, ничего там не блочится.
                      Маршрут виндового клиента:

                      IPv4 таблица маршрута
                      ===========================================================================
                      Активные маршруты:
                      Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрик
                                0.0.0.0          0.0.0.0     192.168.11.1   192.168.11.218     25
                             10.10.10.0    255.255.255.0       10.10.10.1       10.10.10.2     20
                             10.10.10.0  255.255.255.252         On-link        10.10.10.2    276
                             10.10.10.2  255.255.255.255         On-link        10.10.10.2    276
                             10.10.10.3  255.255.255.255         On-link        10.10.10.2    276
                              127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
                              127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
                        127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
                            192.168.0.0    255.255.240.0       10.10.10.1       10.10.10.2     20
                           192.168.11.0    255.255.255.0         On-link    192.168.11.218    281
                         192.168.11.218  255.255.255.255         On-link    192.168.11.218    281
                         192.168.11.255  255.255.255.255         On-link    192.168.11.218    281
                              224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
                              224.0.0.0        240.0.0.0         On-link    192.168.11.218    281
                              224.0.0.0        240.0.0.0         On-link        10.10.10.2    276
                        255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
                        255.255.255.255  255.255.255.255         On-link    192.168.11.218    281
                        255.255.255.255  255.255.255.255         On-link        10.10.10.2    276
                      
                      1 Reply Last reply Reply Quote 0
                      • werter
                        werter last edited by

                        Доброе.
                        1. Схема сети.
                        2. Скрины настроек.
                        3. Не входит ли сеть клиента в 192.168.0.0/20 ? Какая адресация у клиента ?

                        1 Reply Last reply Reply Quote 0
                        • E
                          Electricshock last edited by

                          @werter:

                          Доброе.
                          1. Схема сети.
                          2. Скрины настроек.
                          3. Не входит ли сеть клиента в 192.168.0.0/20 ? Какая адресация у клиента ?

                          1. Схему pfSense и клиентских настроек прилагаю;
                          2. Скрины тоже;
                          3. Не входит, у клиента 192.168.50.0 (поменял).

                          Еще раз route print с клиента:

                          IPv4 таблица маршрута
                          ===========================================================================
                          Активные маршруты:
                          Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
                                    0.0.0.0          0.0.0.0     192.168.50.1   192.168.50.218     25
                                 10.10.10.0    255.255.255.0       10.10.10.5       10.10.10.6     20
                                 10.10.10.4  255.255.255.252         On-link        10.10.10.6    276
                                 10.10.10.6  255.255.255.255         On-link        10.10.10.6    276
                                 10.10.10.7  255.255.255.255         On-link        10.10.10.6    276
                                  127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
                                  127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
                            127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
                                192.168.0.0    255.255.240.0       10.10.10.5       10.10.10.6     20
                               192.168.50.0    255.255.255.0         On-link    192.168.50.218    281
                             192.168.50.218  255.255.255.255         On-link    192.168.50.218    281
                             192.168.50.255  255.255.255.255         On-link    192.168.50.218    281
                                  224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
                                  224.0.0.0        240.0.0.0         On-link    192.168.50.218    281
                                  224.0.0.0        240.0.0.0         On-link        10.10.10.6    276
                            255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
                            255.255.255.255  255.255.255.255         On-link    192.168.50.218    281
                            255.255.255.255  255.255.255.255         On-link        10.10.10.6    276
                          ===========================================================================
                          
                          • Клиентский файл конфигурации OpenVPN:
                          dev tun
                          persist-tun
                          persist-key
                          cipher AES-256-CBC
                          auth SHA1
                          tls-client
                          client
                          resolv-retry infinite
                          remote X.X.X.X 1197 udp
                          lport 0
                          verify-x509-name "server.net" name
                          pkcs12 pfsense-udp-1197-mazdaspeed.p12
                          tls-auth pfsense-udp-1197-mazdaspeed-tls.key 1
                          ns-cert-type server
                          
                          








                          1 Reply Last reply Reply Quote 0
                          • E
                            Electricshock last edited by

                            Ура! Заработало!
                            Дело было в том, что на клиентских хостах был указан другой шлюз по умолчанию, выставил шлюзом по умолчанию IP pfSense, на котором поднял OpenVPN и все заработало!!!

                            1 Reply Last reply Reply Quote 0
                            • E
                              Electricshock last edited by

                              Как теперь сделать так, чтобы OpenVPN-клиентам выдавались определенные IP-адреса, либо создать резервацию MAC+IP?
                              А то что-то не нашёл там такого.

                              1 Reply Last reply Reply Quote 0
                              • werter
                                werter last edited by

                                В гугле static ip openvpn

                                P.s. Если у Вас клиенты вер. 2.3.х, можно на сервере поставить галку на Topology , чтобы при подкл. получали один ip , а не подсеть из 4-х адресов.

                                1 Reply Last reply Reply Quote 0
                                • P
                                  pigbrother last edited by

                                  @Electric^shock:

                                  Как теперь сделать так, чтобы OpenVPN-клиентам выдавались определенные IP-адреса, либо создать резервацию MAC+IP?
                                  А то что-то не нашёл там такого.

                                  Не по MAC, а по common name из сертификата.
                                  Обсуждалось тут:
                                  https://forum.pfsense.org/index.php?topic=106612.msg594014#msg594014

                                  1 Reply Last reply Reply Quote 0
                                  • E
                                    Electricshock last edited by

                                    @werter:

                                    В гугле static ip openvpn

                                    P.s. Если у Вас клиенты вер. 2.3.х, можно на сервере поставить галку на Topology , чтобы при подкл. получали один ip , а не подсеть из 4-ех адресов.

                                    Благодарю!

                                    1 Reply Last reply Reply Quote 0
                                    • First post
                                      Last post

                                    Products

                                    • Platform Overview
                                    • TNSR
                                    • pfSense
                                    • Appliances

                                    Services

                                    • Training
                                    • Professional Services

                                    Support

                                    • Subscription Plans
                                    • Contact Support
                                    • Product Lifecycle
                                    • Documentation

                                    News

                                    • Media Coverage
                                    • Press
                                    • Events

                                    Resources

                                    • Blog
                                    • FAQ
                                    • Find a Partner
                                    • Resource Library
                                    • Security Information

                                    Company

                                    • About Us
                                    • Careers
                                    • Partners
                                    • Contact Us
                                    • Legal
                                    Our Mission

                                    We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

                                    Subscribe to our Newsletter

                                    Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

                                    © 2021 Rubicon Communications, LLC | Privacy Policy