pfSense Support Subscription

Author Topic: Подключение 3-го узла  (Read 428 times)

0 Members and 1 Guest are viewing this topic.

Offline MStar

  • Newbie
  • *
  • Posts: 20
  • Karma: +0/-0
    • View Profile
Re: Подключение 3-го узла
« Reply #15 on: November 15, 2017, 02:39:20 am »
Интерфейсы для Open VPN не создавались.
Все так. В данном случае NAT - фактор, роли не играющий.
Поэтому снова повторяю вопрос: что может препятствовать назначению таблицы маршрутизации серверному интерфейсу OpenVPN и/или как можно этот момент отследить и исследовать. Очень нужна помощь специалиста, знающего pfSense на уровне внутренних механизмов.
Status / System Logs / OpenVPN
Code: [Select]
Nov 15 09:46:12 openvpn 96554 54AG_Crch_client/188.x.x.10:4484 MULTI_sva: pool returned IPv4=192.168.104.10, IPv6=(Not enabled)
Nov 15 09:46:12 openvpn 96554 188.x.x.10:4484 [54AG_Crch_client] Peer Connection Initiated with [AF_INET]188.x.x.10:4484
Nov 15 09:46:11 openvpn 96554 188.x.x.10:4484 peer info: IV_TCPNL=1
Nov 15 09:46:11 openvpn 96554 188.x.x.10:4484 peer info: IV_COMP_STUBv2=1
Nov 15 09:46:11 openvpn 96554 188.x.x.10:4484 peer info: IV_COMP_STUB=1
Nov 15 09:46:11 openvpn 96554 188.x.x.10:4484 peer info: IV_LZO=1
Nov 15 09:46:11 openvpn 96554 188.x.x.10:4484 peer info: IV_LZ4v2=1
Nov 15 09:46:11 openvpn 96554 188.x.x.10:4484 peer info: IV_LZ4=1
Nov 15 09:46:11 openvpn 96554 188.x.x.10:4484 peer info: IV_PROTO=2
Nov 15 09:46:11 openvpn 96554 188.x.x.10:4484 peer info: IV_PLAT=freebsd
Nov 15 09:46:11 openvpn 96554 188.x.x.10:4484 peer info: IV_VER=2.4.4
Nov 15 09:43:04 openvpn 96554 Initialization Sequence Completed
Nov 15 09:43:04 openvpn 96554 UDPv4 link remote: [AF_UNSPEC]
Nov 15 09:43:04 openvpn 96554 UDPv4 link local (bound): [AF_INET]89.x.x.70:11941
Nov 15 09:43:04 openvpn 96554 /usr/local/sbin/ovpn-linkup ovpns2 1500 1621 192.168.104.9 255.255.255.248 init
Nov 15 09:43:04 openvpn 96554 /sbin/ifconfig ovpns2 192.168.104.9 192.168.104.10 mtu 1500 netmask 255.255.255.248 up
Nov 15 09:43:04 openvpn 96554 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Nov 15 09:43:04 openvpn 96554 TUN/TAP device /dev/tun2 opened
Nov 15 09:43:04 openvpn 96554 TUN/TAP device ovpns2 exists previously, keep at program end
Nov 15 09:43:04 openvpn 96554 Initializing OpenSSL support for engine 'rdrand'
Nov 15 09:43:04 openvpn 96554 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Nov 15 09:43:04 openvpn 96294 library versions: OpenSSL 1.0.2k-freebsd 26 Jan 2017, LZO 2.10
Nov 15 09:43:04 openvpn 96294 OpenVPN 2.4.4 amd64-portbld-freebsd11.1 [SSL (OpenSSL)] [LZO] [LZ4] [MH/RECVDA] [AEAD] built on Oct 19 2017

netstat -r
Routing tables
Internet:
DestinationGatewayFlagsNetifExpire
default89.225.253.65UGSigb1
10.0.10.0/24192.168.252.73UGSovpnc3
10.0.11.0/24192.168.104.10UGSovpns2
10.0.13.0/24192.168.104.10UGSovpns2
10.0.14.0/24192.168.104.10UGSovpns2
89.225.253.64/28link#2Uigb1
89.225.253.70link#2UHSlo0
localhostlink#7UHlo0
172.16.1.0/24192.168.252.73UGSovpnc3
188.172.154.10.bcu89.225.253.65UGHSigb1
192.168.1.0/24192.168.252.73UGSovpnc3
192.168.2.0/24192.168.252.73UGSovpnc3
192.168.3.0/24192.168.252.73UGSovpnc3
192.168.100.0/24192.168.252.73UGSovpnc3
192.168.101.0/24192.168.252.73UGSovpnc3
192.168.102.0/24link#3Uigb2
192.168.102.1link#3UHSlo0
192.168.103.0/24link#12Uigb2.2
192.168.103.1link#12UHSlo0
192.168.104.0/29192.168.104.2UGSovpns1
192.168.104.1link#14UHSlo0
192.168.104.2link#14UHovpns1
192.168.104.8/29192.168.104.10UGSovpns2
192.168.104.9link#15UHSlo0
192.168.104.10link#15UHovpns2
192.168.110.0/24192.168.252.73UGSovpnc3
192.168.111.0/24link#1Uigb0
pfSense-Crchlink#1UHSlo0
192.168.112.0/24link#13Uigb2.4
192.168.112.1link#13UHSlo0
192.168.114.0/24192.168.252.73UGSovpnc3
192.168.125.0/24192.168.252.73UGSovpnc3
192.168.222.0/29link#6Uigb5
192.168.222.2link#6UHSlo0
192.168.252.0/28192.168.252.73UGSovpnc3
192.168.252.72/29192.168.252.73UGSovpnc3
192.168.252.73link#16UHovpnc3
192.168.252.74link#16UHSlo0
[
« Last Edit: November 15, 2017, 06:48:47 am by MStar »

Offline werter

  • Hero Member
  • *****
  • Posts: 4915
  • Karma: +230/-14
    • View Profile
Re: Подключение 3-го узла
« Reply #16 on: November 15, 2017, 06:46:00 am »
Code: [Select]
WAN 127.0.0.0/8  a.a.2.0/24 b.b.100.0/24 10.11.12.0/24 10.11.11.0/24 10.11.10.0/24 * * 500 WAN address * Auto created rule for ISAKMP
WAN 127.0.0.0/8  a.a.2.0/24 b.b.100.0/24 10.11.12.0/24 10.11.11.0/24 10.11.10.0/24 * * * WAN address * Auto created rule

a.a.2.0 - LAN,   b.b.100.0/24 - DMZ. 10.11.12.0/24 10.11.11.0/24 10.11.10.0/24 - сети туннелей RA и site-to-site клиентов Open VPN, котрые в интернет через Open VPN не ходят.
Интерфейсы для Open VPN не создавались.

Явно указано - WAN. Т.е. если завернуть весь трафик от впн-клиентов в туннель, то в инет они будут иметь возможность выходить через головной сервер. Странно.

Сохранить конфиг. Удалить правила. Проверить.

Зы. А может 10.11.12.0/24 10.11.11.0/24 10.11.10.0/24 - это локальные сети за впн-сервером? Оч. похоже. И просто забыли ?  ::)

Offline MStar

  • Newbie
  • *
  • Posts: 20
  • Karma: +0/-0
    • View Profile
Re: Подключение 3-го узла
« Reply #17 on: November 15, 2017, 06:55:02 am »
Зы. А может 10.11.12.0/24 10.11.11.0/24 10.11.10.0/24 - это локальные сети за впн-сервером? Оч. похоже. И просто забыли ?  ::)
Это вообще не мои сети, это "pigbrother" рассуждал об автосоздаваемых правилах NAT. На своем примере.

Offline werter

  • Hero Member
  • *****
  • Posts: 4915
  • Karma: +230/-14
    • View Profile
Re: Подключение 3-го узла
« Reply #18 on: November 15, 2017, 06:57:15 am »
А я ему и отвечал  ;D

Offline MStar

  • Newbie
  • *
  • Posts: 20
  • Karma: +0/-0
    • View Profile
Re: Подключение 3-го узла
« Reply #19 on: November 15, 2017, 07:20:48 am »
А я ему и отвечал  ;D
Жалко, что мне никто не вожет ответить! :'(

Offline pigbrother

  • Hero Member
  • *****
  • Posts: 1698
  • Karma: +212/-2
    • View Profile
Re: Подключение 3-го узла
« Reply #20 on: November 15, 2017, 07:35:28 am »
Зы. А может 10.11.12.0/24 10.11.11.0/24 10.11.10.0/24 - это локальные сети за впн-сервером? Оч. похоже. И просто забыли ?

Не забыл ;) Адресацию своих LAN вспомню и во сне. 10.11.12.0/24 10.11.11.0/24 10.11.10.0/24 - это именно сети, выделенные под туннели.
10.11.12.0/24 - туннель для site-to-site
10.11.11.0/24 и 10.11.10.0/24 - туннели двух Remote access OVPN серверов. Зачем  их 2? Один "правильный" на UDP, второй - TCP  для клиентов, чьи провайдеры режут UDP.

Жалко, что мне никто не может ответить

Не знаю, что может мешать. Маршрут и шлюз в другую сеть через появляются в таблице сразу после создания экземпляра Open VPN сервера, насколько помню - даже если к серверу никто не подключен.

Создайте для эксперимента сервер, ведущий в никуда с уникальной адресацией туннеля. Маску туннеля выберите "стандартную" /24.

И да, у вас в
var-etc-openvpn-csc-server6-Crch_client.txt
несколько записей iroute:
Code: [Select]
iroute 192.168.102.0 255.255.255.0
iroute 192.168.103.0 255.255.255.0
iroute 192.168.111.0 255.255.255.0
iroute 192.168.112.0 255.255.255.0

За этим клиентом  действительно столько сетей?
« Last Edit: November 16, 2017, 04:36:58 am by pigbrother »

Offline MStar

  • Newbie
  • *
  • Posts: 20
  • Karma: +0/-0
    • View Profile
Re: Подключение 3-го узла
« Reply #21 on: November 26, 2017, 01:03:09 pm »
Правильный ответ на заданный вопрос: Если в таблице маршрутизации VPN соединения на сервере виден только адрес собственного шлюза, значит не подключилась информация из CSO. Наивероянейшая причина - ошибка в написании канонического имени сертификата пользователя.

Offline pigbrother

  • Hero Member
  • *****
  • Posts: 1698
  • Karma: +212/-2
    • View Profile
Re: Подключение 3-го узла
« Reply #22 on: November 27, 2017, 01:26:39 am »
ошибка в написании канонического имени сертификата пользователя.

Вероятно - Common Name.

Да, достаточно ошибиться регистром. Ну тут уж  извините - искать такие ошибки исключительно ваша прерогатива.
« Last Edit: November 27, 2017, 01:31:10 am by pigbrother »