Один OpenVPN сервер для нескольких подсетей
-
Добрый день. Сегодня весь день убил на то, чтобы завести несколько подсетей под один сервер OpenVPN. Я в сетях почти 0, но ситуация вынуждает заниматься этим вопросом.
Дано:
Центральный Офис с сетью 192.168.0.0/24
Удаленный магазин 1 с сетью 192.168.204.0/24
Удаленный магазин 2 с сетью 192.168.206.0/24
Удаленный магазин 3 с сетью 192.168.214.0/24
…..
Удаленный магазин 15 с сетью 192.168.X.0/24Удаленные рабочие места (один комп) - неограниченное количество
ОпенВПН в подсети офиса с параметром tunnel network 10.0.0.0/16 (я хотел назначать подсети)
Local Network 192.168.0.0/24Удаленным рабочим местам делается клиент-оверрайд с ifconfig-push 10.0.0.X 255.255.255.0
И с ними вопросов нет.Дальше самый сок:
я пытаюсь назначить магазину подсеть с номером магазина в рамках моего openvpn.
Т.е. делаю оверрайд для магазина 1:
ifconfig-push 10.0.204.1 255.255.0.0
или, хотя бы так: ifconfig-push 10.0.1.204 255.255.0.0
чтобы не путаться с рабочими местами.И магазин каким-то чудом пингуется из офиса, и я даже могу подключиться к нему VNCViewer`ом
Но из магазина ни один комп в офисе не пингуется (мне нужно запустить RDP-соединение)
Но, что еще хуже, мне нужен доступ на кассу магазина из центрального офиса - у которой IP всегда, допустим 192.168.X.21.
OpenVPN клиент установлен на компьютере бэкофис магазина с IP 192.168.X.5.
И я не могу разобраться с маршрутами.Если я назначаю устройству, или клиенту IP не из нулевой подсети (не из 10.0.0.0/24), а, допустим 10.0.1.204 то резко перестают пинговаться компы.
Может немного сумбурно объяснил, но это только показывает запутанность и мою замучанность ситуацией.
Потыкайте носом, на какие ключевые параметры обратить внимание, чтобы все заработало. Где и какие маршруты писать.
В магазинах WinXP, в офисе Win7, WinXP, пфсенс крутится на отдельной машине сервера.
Буду благодарен за любую подсказку и помощь. Пожалуйста. -
Проверяйте маршруты после подключения. Правильно ли они указывают интерфейсы и есть ли все сети.
При большом количестве подключений чтобы было проще можно попробовать поднимать OSPF, для site-to-site соединений. -
Ok. Давайте тогда так. Может я чего-то не понимаю в принципах построения сетей. Если tunnel network 10.0.0.0/16, означает ли это то, что ip-адрес ovpn со стороны pfsense (10.0.0.1) должен видеть 10.0.204.1 без всяких маршрутов и доп записей. И так в обе стороны?
-
Зачем вам подсети в туннеле?
Обшие правила site-to-site
1.Туннель должен иметь уникальную подсеть, не совпадающую ни с одной подсетью офиса и филиалов.
2. Офисы должны иметь непересекающиеся подсети.
3. Обращение между филиалами офисом и между собой будет происходить по IP-адресам LANов офиса и филиалов, подсеть туннеля не используется.общее route 192.168.х.0/24 для каждой сети филиала на сервере
и
iroute 192.168.Х.0 255.255.255;push route "192.168.Y.0 255.255.255.0" в Client Specific Overrides каждого филиала
192.168.Х.0 - сеть этого филиала, 192.168.Y.0 - сеть другого филиала.
Если общение между филиалами не нужно - не нужны и push route "192.168.Y.0 255.255.255.0"Все должно получиться.
-
Зачем вам подсети в туннеле?
Обшие правила site-to-site
1.Туннель должен иметь уникальную подсеть, не совпадающую ни с одной подсетью офиса и филиалов.
2. Офисы должны иметь непересекающиеся подсети.
3. Обращение между филиалами офисом и между собой будет происходить по IP-адресам LANов офиса и филиалов, подсеть туннеля не используется.общее route 192.168.х.0/24 для каждой сети филиала на сервере
и
iroute 192.168.Х.0 255.255.255;push route "192.168.Y.0 255.255.255.0" в Client Specific Overrides каждого филиала
192.168.Х.0 - сеть этого филиала, 192.168.Y.0 - сеть другого филиала.
Если общение между филиалами не нужно - не нужны и push route "192.168.Y.0 255.255.255.0"Все должно получиться.
Большое спасибо! Теперь я вижу из центрального офиса все компьютеры магазина, но обратно из удаленного офиса по IP не пингуется центральный. К RDP не подключается. Наверное, не хватает обратного маршрута.
C:\>tracert 192.168.0.56 Трассировка маршрута к 192.168.0.56 с максимальным числом прыжков 30 1 41 ms 145 ms 33 ms 10.0.0.1 2 * * * Превышен интервал ожидания для запроса.
Он проходит на мой сервер, получается, но мой сервер не знает, куда отправлять дальше?
-
Правила на LAN каждого pfSense для каждой "соседней" подсети вида
IPv4 * LAN net * 192.168.Y.0/24 * * none
есть?
Эти правила на LAN поставить выше остальных.
Правило на закладке openvpn
IPv4 * * * * * * none
не забыли?
Файрволы на пингуемых машинах отключены?
pfSense является шлюзом по умолчанию для своих подсетей? -
Большое спасибо за помощь.
Правила на LAN каждого pfSense для каждой "соседней" подсети вида
IPv4 * LAN net * 192.168.Y.0/24 * * none
есть?
Есть более общее:
IPv4 * LAN net * * * * none Default allow LAN to any ruleЭти правила на LAN поставить выше остальных.
Первое после Анти-локаут правила.
Правило на закладке openvpn
IPv4 * * * * * * none
не забыли?
Не забыли
Файрволы на пингуемых машинах отключены?
Вот оно! На пингуемой машине включен FW. Другие машины пингуются отлично. Не пингуется только рабочий комп.
Сервер пигнуется хорошо (я как-то не надеялся пропинговать сервер, и монотонно кидал пинги на свой комп, пытался идти маленькими шажочками).pfSense является шлюзом по умолчанию для своих подсетей?
Для моей - да.
Вопрос исчерпан! большое спасибо!
-
_Есть более общее:
IPv4 * LAN net * * * * none Default allow LAN to any rule _Начиная с 2.1 этого правила может оказаться недостаточно. Нужны явные указания доступа из LAN к сетям за OVPN. Выражается в невозможности пинговать компьютеры филиалов из офиса.
Возможно - у вас 2.3 и эти правила стали не нужны, как это было в 2.0.х. Отпишитесь, плз. -
_Есть более общее:
IPv4 * LAN net * * * * none Default allow LAN to any rule _Начиная с 2.1 этого правила может оказаться недостаточно. Нужны явные указания доступа из LAN к сетям за OVPN. Выражается в невозможности пинговать компьютеры филиалов из офиса.
Возможно - у вас 2.3 и эти правила стали не нужны, как это было в 2.0.х. Отпишитесь, плз.Большое спасибо за помощь. Версия 2.2.6-RELEASE (amd64). Висит найденный апдейт. Но я боюсь обновлять. Не знаю, есть ли бэкап, или надо всю машину бэкапить.
-
При обновлении есть галка "сделать полную копию"
Но с обновлением я бы не спешил. Сам пока на 2.2.6.