Netgate SG-1000 microFirewall

Poll

pfsense

подсеть
0 (0%)
VPN
0 (0%)

Total Members Voted: 0

Author Topic: pfsense + подсеть у клиента OPEN VPN  (Read 181 times)

0 Members and 1 Guest are viewing this topic.

Offline iliaxxx

  • Jr. Member
  • **
  • Posts: 70
  • Karma: +0/-0
    • View Profile
pfsense + подсеть у клиента OPEN VPN
« on: January 04, 2018, 04:51:14 pm »
В общем, дела такие:
LAN 10.10.0.0/24
OPEN VPN 10.10.1.0/24
Все настроено и уже в работе давно. Есть OPEN VPN клиенты 10.10.1.2, 10.10.1.3 - 10.10.1.15. И все прекрасно работают.
Все видят друг друга и локальную сеть.
Встала задача следующая:
Нужно клиента 10.10.1.16 поставить на роутер LAN которого выглядит вот так 192.168.1.0/24.
VPN поднялся на ура.
С компа 192.168.1.80 я пингую 10.10.0.0/24 и 10.10.1.0/24, всех поднятых VPN
Но вот 192.168.1.80 я не могу пинговать даже с pfsense.
Эту проблему решил попробовать решить так:
Зашел на pfsense по ssh и в консоли ввел route add 192.168.1.0/24 10.10.1.16. Но увы это не помогло.
Кто может подсказать что я делаю не так?

Offline iliaxxx

  • Jr. Member
  • **
  • Posts: 70
  • Karma: +0/-0
    • View Profile
Re: pfsense + подсеть у клиента OPEN VPN
« Reply #1 on: January 06, 2018, 08:04:52 am »
В общем, дела такие:
LAN 10.10.0.0/24
OPEN VPN 10.10.1.0/24
Все настроено и уже в работе давно. Есть OPEN VPN клиенты 10.10.1.2, 10.10.1.3 - 10.10.1.15. И все прекрасно работают.
Все видят друг друга и локальную сеть.
Встала задача следующая:
Нужно клиента 10.10.1.16 поставить на роутер LAN которого выглядит вот так 192.168.1.0/24.
VPN поднялся на ура.
С компа 192.168.1.80 я пингую 10.10.0.0/24 и 10.10.1.0/24, всех поднятых VPN
Но вот 192.168.1.80 я не могу пинговать даже с pfsense.
Эту проблему решил попробовать решить так:
Зашел на pfsense по ssh и в консоли ввел route add 192.168.1.0/24 10.10.1.16. Но увы это не помогло.
Кто может подсказать что я делаю не так?
Я понимаю что в данном случае нужно поднимать соединение типа "Peer to Peer", но у клиента роутер Asus умее только как клиент работать. Поэтому приходится отталкиваться от того что есть. Есть у кого мысли, как можно организовать такую маршрутизацию?

Offline werter

  • Hero Member
  • *****
  • Posts: 4973
  • Karma: +236/-14
    • View Profile
Re: pfsense + подсеть у клиента OPEN VPN
« Reply #2 on: January 06, 2018, 08:57:00 am »
Доброго.

Что в кач-ве клиентов ? Что шлюзом в настройках сети у 192.168.1.80 ?

В случае с ОпенВПН руками маршруты добавлять на пф не надо. Удалите.

Попробую натолкнуть на мысль.
Директива route ... для самого pfsense, чтобы понять, что такие то сети находятся за подкл. клиентом , директива push route ... для получения маршрутов от пф подключающимся извне клиентам, директива iroute ... в настр. Client specific overrides на пф для того, чтобы объяснить своей локальной сети, что такие-то сети нах-ся за подлк. клиентами.

Первую и вторую директивы также можно настраивать прямо в веб-гуи пф. Для этого в настр. опенвпн-сервера имеются пункты Remote (директива route ...) и Local networks (директива push route ... ).

http://forum.ixbt.com/topic.cgi?id=14:40906

Плюс для доступа в сеть клиентов из лок. сети за пф понадобится явное разрешающее правило в fw на LAN, где в src - LAN net , в dest - сеть клиента. И поставить это правило выше всех.

« Last Edit: January 06, 2018, 09:11:21 am by werter »

Offline iliaxxx

  • Jr. Member
  • **
  • Posts: 70
  • Karma: +0/-0
    • View Profile
Re: pfsense + подсеть у клиента OPEN VPN
« Reply #3 on: January 06, 2018, 11:06:57 am »
Доброго.
Что в кач-ве клиентов ? Что шлюзом в настройках сети у 192.168.1.80 ?

Роутер поднимает VPN соедение и получает адрес 10.10.1.16
Так же он является гейтом для сети 192.168.1.0/24 и имее ip адрес 192.168.1.1

В этой сети все компы видят всех других vpn клиентов которые имеют адреса 10.10.1.0/24
Также с этой сет видны и все сервера находящиеся в сети 10.10.1.0/24
В одну сторону все работает прекрасно.

Но вот  другую никак. Из обеих сетей я могу увидеть только ip 10.10.1.16. (это ip который на роутер приходит от vpn сервера).  А вот подсеть 192.168.1.0/24 никак и неоткуда.

Offline werter

  • Hero Member
  • *****
  • Posts: 4973
  • Karma: +236/-14
    • View Profile
Re: pfsense + подсеть у клиента OPEN VPN
« Reply #4 on: January 06, 2018, 12:57:07 pm »
В настройках пф-сервера в Remote укажите 192.168.1.0/24.

Так же там есть галка, разр. хождение трафика межде подкл. клиентами. Поставьте ее.

Впн сеть для возможности указать iroute для конкретного клиента должна быть построена на сертификатах. Иначе не выйдет.


Покажите таблицу мар-ции на пф при всех подкл. клиентах.

И это не забыть!
Quote
Плюс для доступа в сеть клиентов из лок. сети за пф понадобится явное разрешающее правило в fw на LAN, где в src - LAN net , в dest - сеть клиента. И поставить это правило выше всех.

Покажите скрины правил fw на ЛАН и ОПЕНВПН.

P.s. 
Quote
но у клиента роутер Asus умее только как клиент работать
Модель этого роутера в студию.

Offline iliaxxx

  • Jr. Member
  • **
  • Posts: 70
  • Karma: +0/-0
    • View Profile
Re: pfsense + подсеть у клиента OPEN VPN
« Reply #5 on: January 06, 2018, 02:07:35 pm »
В настройках пф-сервера в Remote укажите 192.168.1.0/24.

Так же там есть галка, разр. хождение трафика межде подкл. клиентами. Поставьте ее.

Впн сеть для возможности указать iroute для конкретного клиента должна быть построена на сертификатах. Иначе не выйдет.


Покажите таблицу мар-ции на пф при всех подкл. клиентах.

И это не забыть!
Quote
Плюс для доступа в сеть клиентов из лок. сети за пф понадобится явное разрешающее правило в fw на LAN, где в src - LAN net , в dest - сеть клиента. И поставить это правило выше всех.

Покажите скрины правил fw на ЛАН и ОПЕНВПН.

P.s. 
Quote
но у клиента роутер Asus умее только как клиент работать
Модель этого роутера в студию.
Создал правило Client Specific Overrides


Как не странно но пинг с локалной сети 10.10.0.0/24 пошел.  Но роутер saus RT-AC66U тут же нарисовал мне предупреждение

Ниже правило:
LAN

OPT

OpenVpn

Offline werter

  • Hero Member
  • *****
  • Posts: 4973
  • Karma: +236/-14
    • View Profile
Re: pfsense + подсеть у клиента OPEN VPN
« Reply #6 on: January 06, 2018, 03:43:01 pm »
Что такое OPT1 ? Если это явно созданный впн-интерфейс - удаляйте.
У вас для каждого клиента - отдельн. впн-сервер?
Не увидел разр. правила для впн на ЛАН. Вроде между строк не пишу.
Зачем в Адвансед добавили iroute ? Оно не там рисуется.

Для Асуса есть http://tomato.groov.pl/?page_id=69. Намного лучше родной прошивки. Есть и впн клиент-сервер и мультиван и много чего еще http://tomato.groov.pl/?page_id=31.
После перепрошивки сбросить NVRAM!

Offline iliaxxx

  • Jr. Member
  • **
  • Posts: 70
  • Karma: +0/-0
    • View Profile
Re: pfsense + подсеть у клиента OPEN VPN
« Reply #7 on: January 06, 2018, 03:55:15 pm »
Что такое OPT1 ? Если это явно созданный впн-интерфейс - удаляйте.
У вас для каждого клиента - отдельн. впн-сервер?
Не увидел разр. правила для впн на ЛАН. Вроде между строк не пишу.
Зачем в Адвансед добавили iroute ? Оно не там рисуется.

Для Асуса есть http://tomato.groov.pl/?page_id=69. Намного лучше родной прошивки. Есть и впн клиент-сервер и мультиван и много чего еще http://tomato.groov.pl/?page_id=31.
После перепрошивки сбросить NVRAM!

Quote
Зачем в Адвансед добавили iroute ? Оно не там рисуется.
Только там и заработало, но в целом подскажите куда правильно писать.
Quote
Для Асуса есть http://tomato.groov.pl/?page_id=69. Намного лучше родной прошивки. Есть и впн клиент-сервер и мультиван и много чего еще http://tomato.groov.pl/?page_id=31.
После перепрошивки сбросить NVRAM!
Так как это клинское оборудование, приходится танцеать от того что есть, я бы поставил железку на pf и на этом все было бы закончено.
Quote
У вас для каждого клиента - отдельн. впн-сервер?
Нет, сервер у меня один. Remote access ssl/tls + user auth
Quote
Что такое OPT1 ? Если это явно созданный впн-интерфейс - удаляйте.