Настройка openvpn



  • Привет! Есть сервер pfsense, установлен в качестве шлюза.
    WAN - внешний IP
    LAN 192.168.1.0/24
    И сеть для VPN 192.168.50.1
    Настроен openvpn. При подключении клиент получает IP адрес 192.168.50.6 и всё, ни шлюза, ни DNS.
    Почему ip с 6го, а не со 2? Почему маршруты в клиенте 192.168.50.5, а не 50.1? В  Где прописать нужные настройки? В интернете видел "push route 192.168.1.1 255.255.255.0" но это же не маршрут, это сеть. Она и так непосредственно подключена к pfsense. Вообщем я запутался.
    А еще лучше как настроить его так, что бы клиенты openvpn получали IP с DHCP внутреннего сервера (192.168.1.0/24)?



  • Настроен openvpn.

    Все же, очевидно, не настроен.
    Ответы на ваши вопросы - в подробнейших мануалах:
    напрмер:
    https://forum.pfsense.org/index.php/topic,59081.0.html
    https://doc.pfsense.org/index.php/OpenVPN_Site-to-Site_PKI_(SSL)
    https://forum.pfsense.org/index.php?topic=99694.0

    еще лучше как настроить его так, что бы клиенты openvpn получали IP с DHCP внутреннего сервера (192.168.1.0/24)
    С этим, вероятно, сложнее.



  • Спасибо конечно за ссылки, я их видел. В них в основном site to site vpn. А у меня клиент сервер.  Я не могу понять логику работы этой приблуды. Например push route, iroute для меня загадки. Так же как и вопросы из первого поста,  и логика выдачи DHCP сервером pfsense сетевых настроек. Также я не понимаю значения вкладок, client и client specific override. В которых тоже нужно вписывать подсели туннелей и route push.



  • https://doc.pfsense.org/index.php/OpenVPN_Remote_Access_Server
    http://shop.nativepc.ru/content/75-pfsense-2-cookbook-4
    http://www.packetwatch.net/documents/guides/2012050801.php

    Так же как и вопросы из первого поста,  и логика выдачи DHCP сервером pfsense сетевых настроек.

    https://forum.pfsense.org/index.php?topic=46984.0
    https://www.reddit.com/r/PFSENSE/comments/3hql33/configuring_openvpn_bridge_with_local_dhcp/
    http://bertdotself.com/configuring-an-openvpn-multisite-vpn-bridge-using-public-key-infrastructure-pki/

    Только вот зачем DHCP из внутренней сети для мобильных клиентов?



  • Для получения доступа ко внутренним ресурсам, так обычно работает vpn…
    А кто нибудь таки может сказать, почему IP выдается с 6-го адреса, DHCP на 5-ом, шлюз на 1ом и  не работает,  и что сделать что бы шлюз хотя бы выдавался?
    По ссылкам этого нет.



  • @Amigo83:

    Для получения доступа ко внутренним ресурсам, так обычно работает vpn…

    Для этого не обязательно настраиват DHCP для openvpn, делать из openvpn новый интерфейс и объеденять с внутренней сетью, и плюс при таких настройках вы не сможете изолировать мобильных клиентов друг от друга (и такое обычно настраивают при доступе через vpn)
    Кагбэ дело за вами, как настраивать)))))



  • А зачем их изолировать? Сотрудники работают удаленно, все что им нужно это доступ во внутреннюю корпоративную сеть. Сейчас подключаются через cisco, ее настроить было на порядок проще..

    Настроено всё по мануалам… Почему шлюза нет?



  • Настройки в студию!
    И какой было смысл слезать с Cisco, если там на порядок легче настройки?



  • На все ваши вопросы есть ответы в приведенных ссылках. Например:

    почему IP выдается с 6-го адреса

    Потому что для совместимости со старыми клиентами Windows используется топология виртуальной сети net30. Хотите адресацию 1-2-3-4 - используйте топологию subnet. Делается это одной строкой\галкой в настройках, и это описано в приведенных ссылках.



  • @timon12:

    Настройки в студию!
    И какой было смысл слезать с Cisco, если там на порядок легче настройки?

    Шта ?? Вы это только не говорите никому.



  • Так это не мои слова))))))

    @Amigo83:

    А зачем их изолировать? Сотрудники работают удаленно, все что им нужно это доступ во внутреннюю корпоративную сеть. Сейчас подключаются через cisco, ее настроить было на порядок проще..

    Настроено всё по мануалам… Почему шлюза нет?



  • Аааа, прошу пардону )



  • Присоединюсь.
    Более наглядной\прозрачной настройки OpenVPN чем в pfSense придумать сложно.



  • @Amigo83:

    А кто нибудь таки может сказать, почему IP выдается с 6-го адреса, DHCP на 5-ом, шлюз на 1ом и  не работает,  и что сделать что бы шлюз хотя бы выдавался?

    Сдается мне , что человек , к-ый не знает об адресации /30 (тип net30) openvpn врядли может бросаться фразами типа :

    Сейчас подключаются через cisco, ее настроить было на порядок проще..



  • Что такое подсеть /30 я в курсе, с масками знаком. А вот что такое net30 не знает даже гугл.

    https://www.google.ru/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#q=net30



  • _Сдается мне , что человек , к-ый не знает об адресации /30 (тип net30) openvpn врядли может бросаться фразами типа :

    Quote

    Сейчас подключаются через cisco, ее настроить было на порядок проще.._
    Ну почему же. Если в интернете найти похожую конфигурацию и copy\paste в свою - это вполне возможно. Сам так делал :).

    С pfSense такое проделать несколько сложнее - все в GUI и настройки надо переносить вдумчиво.

    Что такое подсеть /30 я в курсе, с масками знаком. А вот что такое net30 не знает даже гугл.

    Знает. Кстати - в первой приведенной мною ссылке на инструкцию от rubic:

    В режиме PKI по умолчанию используется топология net30. Создана она для обхода ограничения TAP-Win32 драйвера Microsoft в режиме эмуляции TUN интерфейса….
    ...

    Там же:

    Если вы не собираетесь подключать Windows клиентов к OpenVPN серверу на pfSense, то можно использовать новую топологию subnet. В ней, если в настройках сервера в Tunnel Network стоит 10.0.8.0/24, то сервер получает адрес 10.0.8.1, а клиенты последовательно адреса 10.0.8.2, 10.0.8.3, …, 10.0.8.254. Одним словом, subnet.



  • 2 Amigo83
    А вы гуглу вопрос перефразируйте, может он вас не понял))))
    https://community.openvpn.net/openvpn/wiki/Topology



  • @pigbrother:

    Если вы не собираетесь подключать Windows клиентов к OpenVPN серверу на pfSense, то можно использовать новую топологию subnet. В ней, если в настройках сервера в Tunnel Network стоит 10.0.8.0/24, то сервер получает адрес 10.0.8.1, а клиенты последовательно адреса 10.0.8.2, 10.0.8.3, …, 10.0.8.254. Одним словом, subnet

    Как раз таки windows клиентов я и собираюсь подключать. А чем плоха subnet? Я не провайдер, мне не нужна изоляция сетей.

    В такой конфигурации таблица маршрутизации правильная, пингуется и шлюз, 192.168.50.1 и lan интерфейс pfsense 192.168.1.150, вот только трафик не идёт на другие адреса 192.168.1.0/24



  • @timon12:

    Настройки в студию!



  • dev ovpns1
    verb 1
    dev-type tun
    tun-ipv6
    dev-node /dev/tun1
    writepid /var/run/openvpn_server1.pid
    #user nobody
    #group nobody
    script-security 3
    daemon
    keepalive 10 60
    ping-timer-rem
    persist-tun
    persist-key
    proto udp
    cipher AES-256-CBC
    auth SHA1
    up /usr/local/sbin/ovpn-linkup
    down /usr/local/sbin/ovpn-linkdown
    client-connect /usr/local/sbin/openvpn.attributes.sh
    client-disconnect /usr/local/sbin/openvpn.attributes.sh
    local 217.67..
    tls-server
    server 192.168.50.0 255.255.255.0
    client-config-dir /var/etc/openvpn-csc
    username-as-common-name
    auth-user-pass-verify "/usr/local/sbin/ovpn_auth_verify user 'Local Database' false server1" via-env
    tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'VPN+Server+Cert' 1 "
    lport 1194
    management /var/etc/openvpn/server1.sock unix
    max-clients 20
    push "route 192.168.1.0 255.255.255.0"
    push "dhcp-option DOMAIN it.local"
    push "dhcp-option DNS 192.168.1.241"
    client-to-client
    ca /var/etc/openvpn/server1.ca
    cert /var/etc/openvpn/server1.cert
    key /var/etc/openvpn/server1.key
    dh /etc/dh-parameters.1024
    tls-auth /var/etc/openvpn/server1.tls-auth 0
    comp-lzo adaptive
    passtos
    persist-remote-ip
    float
    topology subnet
    push “route 192.168.1.0 255.255.255.0”

    В фаерволе скорее всего проблема..



  • Зачем два push "route 192.168.1.0 255.255.255.0" ?



  • Для тестов  8) Это я уберу

    На фаеволе, в разделе openvpn трафик разрешен any to any, не пойму почему не ходит между 192.168.50.0/24 и 192.168.1.0/24

    А где можно посмотреть лог фаервола?



  • Status-> System logs->Firewall



  • Если смотреть на LAN интерфейсе tcpdump, то я вижу запросы, но нет ответов((

    192.168.60.2 - IP клиента openvpn

    [2.2.6-RELEASE][admin@pfSense.localdomain]/var/log: tcpdump -i igb0 -n host 192.168.60.2
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on igb0, link-type EN10MB (Ethernet), capture size 65535 bytes
    capability mode sandbox enabled
    14:49:36.521499 IP 192.168.60.2 > 192.168.1.241: ICMP echo request, id 1, seq 700, length 40
    14:49:41.473601 IP 192.168.60.2 > 192.168.1.241: ICMP echo request, id 1, seq 701, length 40
    14:49:46.274560 IP 192.168.60.2 > 192.168.1.241: ICMP echo request, id 1, seq 702, length 40
    14:49:51.274557 IP 192.168.60.2 > 192.168.1.241: ICMP echo request, id 1, seq 703, length 40
    14:52:56.212559 IP 192.168.60.2.53784 > 192.168.1.241.53: 1+ PTR? 241.1.168.192.in-addr.arpa. (44)
    14:52:58.213252 IP 192.168.60.2.53785 > 192.168.1.241.53: 2+ A? itbs01. (26)
    14:53:00.212521 IP 192.168.60.2.53786 > 192.168.1.241.53: 3+ AAAA? itbs01. (26)



  • Вообщем разобрался я… Все гениальное просто, как всегда.
    В данный момент разбираюсь с наследством предыдущего администратора.
    Не работало по той причине, что есть два шлюза, cisco и pfsense.
    Так во по дефолту стоит шлюз cisco.. Надо было поменять шлюз на pfsense.



  • Поздравляю!

    А со шлюзом по умолчанию - это да, классика.


Log in to reply