Netgate SG-1000 microFirewall

Author Topic: Нужна помощь по вопросу Site-to-Site OpenVPN  (Read 117 times)

0 Members and 1 Guest are viewing this topic.

Offline Shoar

  • Newbie
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Добрый день, в сети и на данном форуме полно информации об организации соединения разных подсетей по методу Site-to-Site PKI между двумя pfSense маршрутизаторами. Но я к сожалению так  и не нашел исчерпывающего ответа на свой вопрос: возможно ли Site-to-Site соединение, если pfSense установлен только на OpenVPN сервер, а клиентом выступает отличная от него ОС, как варианты: голая FreeBSD или виндовый маршрутизатор. При использовании в качестве OpenVPN сервера голой FreeBSD подобной проблемы у меня не возникало. ОЧЕНЬ важно разобраться в данном вопросе. Помогите пожалуйста. 

Offline pigbrother

  • Hero Member
  • *****
  • Posts: 1442
  • Karma: +175/-2
    • View Profile
Re: Нужна помощь по вопросу Site-to-Site OpenVPN
« Reply #1 on: July 17, 2017, 04:13:53 am »
В pfSense полноценно реализован Open VPN,  клиентом может быть любая ОС\устройство с поддержкой Open VPN.
У меня клиенты - pfSense, Windows, Apple, Android, роутеры Mikrotik и xWRT.

Некоторые устройства могут обладать усеченным функционалом Open VPN и настройки Open VPN сервера нужно корректировать на стороне pfSense.
« Last Edit: July 17, 2017, 04:17:38 am by pigbrother »

Offline Shoar

  • Newbie
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Re: Нужна помощь по вопросу Site-to-Site OpenVPN
« Reply #2 on: July 17, 2017, 04:20:31 am »
В pfSense полноценно реализован Open VPN,  клиентом может быть любая ОС\устройство с поддержкой Open VPN.
У меня клиенты - pfSense, Windows, Apple, Android, роутеры Mikrotik и xWRT.

Некоторые устройства могут обладать усеченным функционалом Open VPN и настройки Open VPN сервера нужно корректировать на стороне pfSense.

Собственное нет никаких проблем с организацией подключения к OVPN серверу, который работает в режиме Remote Access - подключаюсь легко, но не могу подключиться из под винды к OVPN на pfSense, который работает в режиме Site-to-Site PKI, а именно это мне и нужно, ибо нужно связать несколько подсетей, где маршрутизаторы на разных осях.

Offline pigbrother

  • Hero Member
  • *****
  • Posts: 1442
  • Karma: +175/-2
    • View Profile
Re: Нужна помощь по вопросу Site-to-Site OpenVPN
« Reply #3 on: July 17, 2017, 04:47:22 am »
1. Подключить road-warrior клиента к Site-to-Site PKI, думаю, возможно, смотрите конфиг клиента.
2. Возможно и использовать  сервер в режиме Remote Access  и получить Site-to-Site, сам пользуюсь такой конфигурацией.
3. Можно поднять несколько экземпляров Open VPN сервера на pfSense, между ними прекрасно работает маршрутизация средствами самого Open VPN.
« Last Edit: July 17, 2017, 05:10:24 am by pigbrother »

Offline Shoar

  • Newbie
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Re: Нужна помощь по вопросу Site-to-Site OpenVPN
« Reply #4 on: July 17, 2017, 06:49:50 am »
1. Подключить road-warrior клиента к Site-to-Site PKI, думаю, возможно, смотрите конфиг клиента.
2. Возможно и использовать  сервер в режиме Remote Access  и получить Site-to-Site, сам пользуюсь такой конфигурацией.
3. Можно поднять несколько экземпляров Open VPN сервера на pfSense, между ними прекрасно работает маршрутизация средствами самого Open VPN.

Если рассматривать 2 вариант: даст ли дирректива iroute для клиента подключенного к RA серверу, доступ к подсети за этим клиентом?

Offline pigbrother

  • Hero Member
  • *****
  • Posts: 1442
  • Karma: +175/-2
    • View Profile
Re: Нужна помощь по вопросу Site-to-Site OpenVPN
« Reply #5 on: July 17, 2017, 08:08:45 am »
1. Подключить road-warrior клиента к Site-to-Site PKI, думаю, возможно, смотрите конфиг клиента.
2. Возможно и использовать  сервер в режиме Remote Access  и получить Site-to-Site, сам пользуюсь такой конфигурацией.
3. Можно поднять несколько экземпляров Open VPN сервера на pfSense, между ними прекрасно работает маршрутизация средствами самого Open VPN.

Если рассматривать 2 вариант: даст ли дирректива iroute для клиента подключенного к RA серверу, доступ к подсети за этим клиентом?

Именно!
+ 1 момент. Сервер в режиме Remote Access не имеет в настройках поля IPv4 Remote network(s).
Поэтому помимо использования iroute необходимо вписать в Advanced Configuration
route a.a.a.a 255.255.255.0
где  a.a.a.a - сеть за клиентом.
 

Offline Shoar

  • Newbie
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Re: Нужна помощь по вопросу Site-to-Site OpenVPN
« Reply #6 on: July 17, 2017, 08:33:34 am »
Спасибо большое. С вашей помощью разобрался в вопросе, все работает как надо.