Настройка openvpn
-
Привет! Есть сервер pfsense, установлен в качестве шлюза.
WAN - внешний IP
LAN 192.168.1.0/24
И сеть для VPN 192.168.50.1
Настроен openvpn. При подключении клиент получает IP адрес 192.168.50.6 и всё, ни шлюза, ни DNS.
Почему ip с 6го, а не со 2? Почему маршруты в клиенте 192.168.50.5, а не 50.1? В Где прописать нужные настройки? В интернете видел "push route 192.168.1.1 255.255.255.0" но это же не маршрут, это сеть. Она и так непосредственно подключена к pfsense. Вообщем я запутался.
А еще лучше как настроить его так, что бы клиенты openvpn получали IP с DHCP внутреннего сервера (192.168.1.0/24)? -
Настроен openvpn.
Все же, очевидно, не настроен.
Ответы на ваши вопросы - в подробнейших мануалах:
напрмер:
https://forum.pfsense.org/index.php/topic,59081.0.html
https://doc.pfsense.org/index.php/OpenVPN_Site-to-Site_PKI_%28SSL%29
https://forum.pfsense.org/index.php?topic=99694.0еще лучше как настроить его так, что бы клиенты openvpn получали IP с DHCP внутреннего сервера (192.168.1.0/24)
С этим, вероятно, сложнее. -
Спасибо конечно за ссылки, я их видел. В них в основном site to site vpn. А у меня клиент сервер. Я не могу понять логику работы этой приблуды. Например push route, iroute для меня загадки. Так же как и вопросы из первого поста, и логика выдачи DHCP сервером pfsense сетевых настроек. Также я не понимаю значения вкладок, client и client specific override. В которых тоже нужно вписывать подсели туннелей и route push.
-
https://doc.pfsense.org/index.php/OpenVPN_Remote_Access_Server
http://shop.nativepc.ru/content/75-pfsense-2-cookbook-4
http://www.packetwatch.net/documents/guides/2012050801.phpТак же как и вопросы из первого поста, и логика выдачи DHCP сервером pfsense сетевых настроек.
https://forum.pfsense.org/index.php?topic=46984.0
https://www.reddit.com/r/PFSENSE/comments/3hql33/configuring_openvpn_bridge_with_local_dhcp/
http://bertdotself.com/configuring-an-openvpn-multisite-vpn-bridge-using-public-key-infrastructure-pki/Только вот зачем DHCP из внутренней сети для мобильных клиентов?
-
Для получения доступа ко внутренним ресурсам, так обычно работает vpn…
А кто нибудь таки может сказать, почему IP выдается с 6-го адреса, DHCP на 5-ом, шлюз на 1ом и не работает, и что сделать что бы шлюз хотя бы выдавался?
По ссылкам этого нет. -
Для получения доступа ко внутренним ресурсам, так обычно работает vpn…
Для этого не обязательно настраиват DHCP для openvpn, делать из openvpn новый интерфейс и объеденять с внутренней сетью, и плюс при таких настройках вы не сможете изолировать мобильных клиентов друг от друга (и такое обычно настраивают при доступе через vpn)
Кагбэ дело за вами, как настраивать))))) -
А зачем их изолировать? Сотрудники работают удаленно, все что им нужно это доступ во внутреннюю корпоративную сеть. Сейчас подключаются через cisco, ее настроить было на порядок проще..
Настроено всё по мануалам… Почему шлюза нет?
-
Настройки в студию!
И какой было смысл слезать с Cisco, если там на порядок легче настройки? -
На все ваши вопросы есть ответы в приведенных ссылках. Например:
почему IP выдается с 6-го адреса
Потому что для совместимости со старыми клиентами Windows используется топология виртуальной сети net30. Хотите адресацию 1-2-3-4 - используйте топологию subnet. Делается это одной строкой\галкой в настройках, и это описано в приведенных ссылках.
-
Настройки в студию!
И какой было смысл слезать с Cisco, если там на порядок легче настройки?Шта ?? Вы это только не говорите никому.
-
Так это не мои слова))))))
А зачем их изолировать? Сотрудники работают удаленно, все что им нужно это доступ во внутреннюю корпоративную сеть. Сейчас подключаются через cisco, ее настроить было на порядок проще..
Настроено всё по мануалам… Почему шлюза нет?
-
Аааа, прошу пардону )
-
Присоединюсь.
Более наглядной\прозрачной настройки OpenVPN чем в pfSense придумать сложно. -
А кто нибудь таки может сказать, почему IP выдается с 6-го адреса, DHCP на 5-ом, шлюз на 1ом и не работает, и что сделать что бы шлюз хотя бы выдавался?
Сдается мне , что человек , к-ый не знает об адресации /30 (тип net30) openvpn врядли может бросаться фразами типа :
Сейчас подключаются через cisco, ее настроить было на порядок проще..
-
Что такое подсеть /30 я в курсе, с масками знаком. А вот что такое net30 не знает даже гугл.
https://www.google.ru/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#q=net30
-
_Сдается мне , что человек , к-ый не знает об адресации /30 (тип net30) openvpn врядли может бросаться фразами типа :
Quote
Сейчас подключаются через cisco, ее настроить было на порядок проще.._
Ну почему же. Если в интернете найти похожую конфигурацию и copy\paste в свою - это вполне возможно. Сам так делал :).С pfSense такое проделать несколько сложнее - все в GUI и настройки надо переносить вдумчиво.
Что такое подсеть /30 я в курсе, с масками знаком. А вот что такое net30 не знает даже гугл.
Знает. Кстати - в первой приведенной мною ссылке на инструкцию от rubic:
В режиме PKI по умолчанию используется топология net30. Создана она для обхода ограничения TAP-Win32 драйвера Microsoft в режиме эмуляции TUN интерфейса….
...Там же:
Если вы не собираетесь подключать Windows клиентов к OpenVPN серверу на pfSense, то можно использовать новую топологию subnet. В ней, если в настройках сервера в Tunnel Network стоит 10.0.8.0/24, то сервер получает адрес 10.0.8.1, а клиенты последовательно адреса 10.0.8.2, 10.0.8.3, …, 10.0.8.254. Одним словом, subnet.
-
2 Amigo83
А вы гуглу вопрос перефразируйте, может он вас не понял))))
https://community.openvpn.net/openvpn/wiki/Topology -
Если вы не собираетесь подключать Windows клиентов к OpenVPN серверу на pfSense, то можно использовать новую топологию subnet. В ней, если в настройках сервера в Tunnel Network стоит 10.0.8.0/24, то сервер получает адрес 10.0.8.1, а клиенты последовательно адреса 10.0.8.2, 10.0.8.3, …, 10.0.8.254. Одним словом, subnet
Как раз таки windows клиентов я и собираюсь подключать. А чем плоха subnet? Я не провайдер, мне не нужна изоляция сетей.
В такой конфигурации таблица маршрутизации правильная, пингуется и шлюз, 192.168.50.1 и lan интерфейс pfsense 192.168.1.150, вот только трафик не идёт на другие адреса 192.168.1.0/24
-
Настройки в студию!
-
dev ovpns1
verb 1
dev-type tun
tun-ipv6
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-256-CBC
auth SHA1
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
client-connect /usr/local/sbin/openvpn.attributes.sh
client-disconnect /usr/local/sbin/openvpn.attributes.sh
local 217.67..
tls-server
server 192.168.50.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc
username-as-common-name
auth-user-pass-verify "/usr/local/sbin/ovpn_auth_verify user 'Local Database' false server1" via-env
tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'VPN+Server+Cert' 1 "
lport 1194
management /var/etc/openvpn/server1.sock unix
max-clients 20
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DOMAIN it.local"
push "dhcp-option DNS 192.168.1.241"
client-to-client
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /etc/dh-parameters.1024
tls-auth /var/etc/openvpn/server1.tls-auth 0
comp-lzo adaptive
passtos
persist-remote-ip
float
topology subnet
push “route 192.168.1.0 255.255.255.0”В фаерволе скорее всего проблема..
