Один OpenVPN сервер для нескольких подсетей



  • Добрый день. Сегодня весь день убил на то, чтобы завести несколько подсетей под один сервер OpenVPN. Я в сетях почти 0, но ситуация вынуждает заниматься этим вопросом.

    Дано:
    Центральный Офис с сетью 192.168.0.0/24
    Удаленный магазин 1 с сетью 192.168.204.0/24
    Удаленный магазин 2 с сетью 192.168.206.0/24
    Удаленный магазин 3 с сетью 192.168.214.0/24
    …..
    Удаленный магазин 15 с сетью 192.168.X.0/24

    Удаленные рабочие места (один комп) - неограниченное количество

    ОпенВПН в подсети офиса с параметром tunnel network 10.0.0.0/16 (я хотел назначать подсети)
    Local Network 192.168.0.0/24

    Удаленным рабочим местам делается клиент-оверрайд с ifconfig-push 10.0.0.X 255.255.255.0
    И с ними вопросов нет.

    Дальше самый сок:
    я пытаюсь назначить магазину подсеть с номером магазина в рамках моего openvpn.
    Т.е. делаю оверрайд для магазина 1:
    ifconfig-push 10.0.204.1 255.255.0.0
    или, хотя бы так: ifconfig-push 10.0.1.204 255.255.0.0
    чтобы не путаться с рабочими местами.

    И магазин каким-то чудом пингуется из офиса, и я даже могу подключиться к нему VNCViewer`ом
    Но из магазина ни один комп в офисе не пингуется (мне нужно запустить RDP-соединение)
    Но, что еще хуже, мне нужен доступ на кассу магазина из центрального офиса - у которой IP всегда, допустим 192.168.X.21.
    OpenVPN клиент установлен на компьютере бэкофис магазина с IP 192.168.X.5.
    И я не могу разобраться с маршрутами.

    Если я назначаю устройству, или клиенту IP не из нулевой подсети (не из 10.0.0.0/24), а, допустим 10.0.1.204 то резко перестают пинговаться компы.

    Может немного сумбурно объяснил, но это только показывает запутанность и мою замучанность ситуацией.

    Потыкайте носом, на какие ключевые параметры обратить внимание, чтобы все заработало. Где и какие маршруты писать.
    В магазинах WinXP, в офисе Win7, WinXP, пфсенс крутится на отдельной машине сервера.
    Буду благодарен за любую подсказку и помощь. Пожалуйста.



  • Проверяйте маршруты после подключения. Правильно ли они указывают интерфейсы и есть ли все сети.
    При большом количестве подключений чтобы было проще можно попробовать поднимать OSPF, для site-to-site соединений.



  • Ok. Давайте тогда так. Может я чего-то не понимаю в принципах построения сетей. Если tunnel network 10.0.0.0/16, означает ли это то, что ip-адрес ovpn со стороны pfsense (10.0.0.1) должен видеть 10.0.204.1 без всяких маршрутов и доп записей. И так в обе стороны?



  • Зачем вам подсети в туннеле?
    Обшие правила site-to-site
    1.Туннель должен иметь уникальную подсеть, не совпадающую ни с одной подсетью офиса и филиалов.
    2. Офисы должны иметь непересекающиеся подсети.
    3. Обращение между филиалами офисом и между собой будет происходить по IP-адресам LANов офиса и филиалов, подсеть туннеля не используется.

    общее route 192.168.х.0/24 для каждой сети филиала на сервере
    и
    iroute 192.168.Х.0 255.255.255;push route "192.168.Y.0 255.255.255.0" в Client Specific Overrides каждого филиала
    192.168.Х.0 - сеть этого филиала, 192.168.Y.0 - сеть другого филиала.
    Если общение между филиалами не нужно - не нужны и push route "192.168.Y.0 255.255.255.0"

    Все должно получиться.



  • @pigbrother:

    Зачем вам подсети в туннеле?
    Обшие правила site-to-site
    1.Туннель должен иметь уникальную подсеть, не совпадающую ни с одной подсетью офиса и филиалов.
    2. Офисы должны иметь непересекающиеся подсети.
    3. Обращение между филиалами офисом и между собой будет происходить по IP-адресам LANов офиса и филиалов, подсеть туннеля не используется.

    общее route 192.168.х.0/24 для каждой сети филиала на сервере
    и
    iroute 192.168.Х.0 255.255.255;push route "192.168.Y.0 255.255.255.0" в Client Specific Overrides каждого филиала
    192.168.Х.0 - сеть этого филиала, 192.168.Y.0 - сеть другого филиала.
    Если общение между филиалами не нужно - не нужны и push route "192.168.Y.0 255.255.255.0"

    Все должно получиться.

    Большое спасибо! Теперь я вижу из центрального офиса все компьютеры магазина, но обратно из удаленного офиса по IP не пингуется центральный. К RDP не подключается. Наверное, не хватает обратного маршрута.

    C:\>tracert 192.168.0.56
    
    Трассировка маршрута к 192.168.0.56 с максимальным числом прыжков 30
    
      1    41 ms   145 ms    33 ms  10.0.0.1
      2     *        *        *     Превышен интервал ожидания для запроса.
    

    Он проходит на мой сервер, получается, но мой сервер не знает, куда отправлять дальше?



  • Правила на LAN каждого pfSense для каждой "соседней" подсети вида

    IPv4 * LAN net * 192.168.Y.0/24 * * none

    есть?

    Эти правила на LAN поставить выше остальных.

    Правило на закладке openvpn

    IPv4 * * * * * * none

    не забыли?

    Файрволы на пингуемых машинах отключены?
    pfSense является шлюзом по умолчанию для своих подсетей?



  • Большое спасибо за помощь.

    @pigbrother:

    Правила на LAN каждого pfSense для каждой "соседней" подсети вида

    IPv4 * LAN net * 192.168.Y.0/24 * * none

    есть?

    Есть более общее:
    IPv4 * LAN net * * * * none   Default allow LAN to any rule

    @pigbrother:

    Эти правила на LAN поставить выше остальных.

    Первое после Анти-локаут правила.

    @pigbrother:

    Правило на закладке openvpn

    IPv4 * * * * * * none

    не забыли?

    Не забыли

    @pigbrother:

    Файрволы на пингуемых машинах отключены?

    Вот оно! На пингуемой машине включен FW. Другие машины пингуются отлично. Не пингуется только рабочий комп.
    Сервер пигнуется хорошо (я как-то не надеялся пропинговать сервер, и монотонно кидал пинги на свой комп, пытался идти маленькими шажочками).

    @pigbrother:

    pfSense является шлюзом по умолчанию для своих подсетей?

    Для моей - да.

    Вопрос исчерпан! большое спасибо!



  • _Есть более общее:
    IPv4 *    LAN net    *    *    *    *    none        Default allow LAN to any rule _

    Начиная с 2.1 этого правила может оказаться недостаточно. Нужны явные указания доступа из LAN к сетям за OVPN. Выражается в невозможности пинговать компьютеры филиалов из офиса.
    Возможно - у вас 2.3 и эти правила стали не нужны, как это было в 2.0.х. Отпишитесь, плз.



  • @pigbrother:

    _Есть более общее:
    IPv4 *    LAN net    *    *    *    *    none        Default allow LAN to any rule _

    Начиная с 2.1 этого правила может оказаться недостаточно. Нужны явные указания доступа из LAN к сетям за OVPN. Выражается в невозможности пинговать компьютеры филиалов из офиса.
    Возможно - у вас 2.3 и эти правила стали не нужны, как это было в 2.0.х. Отпишитесь, плз.

    Большое спасибо за помощь. Версия 2.2.6-RELEASE (amd64). Висит найденный апдейт. Но я боюсь обновлять. Не знаю, есть ли бэкап, или надо всю машину бэкапить.



  • При обновлении есть галка "сделать полную копию"
    Но с обновлением я бы не спешил. Сам пока на 2.2.6.


Log in to reply