pfSense Support Subscription

Author Topic: Подключение 3-го узла  (Read 311 times)

0 Members and 1 Guest are viewing this topic.

Offline MStar

  • Newbie
  • *
  • Posts: 19
  • Karma: +0/-0
    • View Profile
Подключение 3-го узла
« on: November 12, 2017, 03:43:24 pm »
Уважаемые коллеги.
Прошу помощи в борьбе с ошибкой маршрутизации.
Подключаю третий pfS 2.4.1. Соединение через OpenVPN StS. Каналы поднимаются, адреса сетей поступают в таблицу маршрутизации. Ping, запущенный с fw клиента в сеть сервера проходит, запущенный с fw сервера не проходит. Рабочие станции не контактируют в обе стороны. Сервер на рабочем узле, клиент на новом. В приложениях конфигурация соединения.

Offline werter

  • Hero Member
  • *****
  • Posts: 4867
  • Karma: +224/-14
    • View Profile
Re: Подключение 3-го узла
« Reply #1 on: November 13, 2017, 02:00:24 am »
Доброго.
iroute в VPN / OpenVPN / Client Specific Overrides
Проверить, что стоит gw в сет. настройках рабстанций.
На время откл. fw, антивирусы на проверяемых рабстанциях.


Offline MStar

  • Newbie
  • *
  • Posts: 19
  • Karma: +0/-0
    • View Profile
Re: Подключение 3-го узла
« Reply #2 on: November 13, 2017, 02:39:03 am »
iroute в VPN / OpenVPN / Client Specific Overrides
Проверить, что стоит gw в сет. настройках рабстанций.
На время откл. fw, антивирусы на проверяемых рабстанциях.
Пожалуйста, загляните в приложенные файлы. Там описание и сервера и CSO и клиента. Просто я уже четвертый день бьюсь, как об стенку. Может со стороны удастся увидеть причину этого безобразия.
Доступ роверяется на серверах и сетевых принтерах, с собственных они свободно пингуются.

Offline werter

  • Hero Member
  • *****
  • Posts: 4867
  • Karma: +224/-14
    • View Profile
Re: Подключение 3-го узла
« Reply #3 on: November 13, 2017, 02:56:14 am »
Покажите скрины
System / Certificate Manager / CAs
System/ Certificate Manager/ Certificates
VPN / OpenVPN / Client Specific Overrides

В какой из сетей 192.168.102.0 192.168.103.0 192.168.111.0 192.168.112.0 нах-ся проблемный клиент?

Попробуйте добавить на ЛАН сервера разреш. правило fw, где укажите в dest удален. сети впн-клиентов и поставьте его выше всех.

И еще. Я бы перекл. в Firewall / NAT / Outbound  режим Outbound NAT Mode на Hybrid Outbound NAT rule generation. Создал бы явное Mappings на vpn-интерфейсе , в к -ом откл. NAT для локальных сетей впн- клиентов. Для чего ? Чтобы при проблемах (вирусы и т.д) точно знать с какого адреса из лок. сети впн-клиента лезет кака.
« Last Edit: November 13, 2017, 03:14:52 am by werter »

Offline MStar

  • Newbie
  • *
  • Posts: 19
  • Karma: +0/-0
    • View Profile
Re: Подключение 3-го узла
« Reply #4 on: November 13, 2017, 04:47:41 am »
И еще. Я бы перекл. в Firewall / NAT / Outbound  режим Outbound NAT Mode на Hybrid Outbound NAT rule generation. Создал бы явное Mappings на vpn-интерфейсе , в к -ом откл. NAT для локальных сетей впн- клиентов. Для чего ? Чтобы при проблемах (вирусы и т.д) точно знать с какого адреса из лок. сети впн-клиента лезет кака.

Отлично, после отмены NAT ping между файерволами пошел в обе стороны. Но ping c ws не маршрутизируется все равно. В логах файерволов пакеты не фиксируются с обеих сторон.

Пошли пинги между ws со стороны сервера на ws у клиента. А tracert с ws со стороны клиента показывает, что запрос минуя интерфейс vpn-a уходит в интернет. Разбираюсь.

Общее правило на интерфейсе заменил на несколько более жестких и все пошло.
« Last Edit: November 13, 2017, 09:14:15 am by MStar »

Offline MStar

  • Newbie
  • *
  • Posts: 19
  • Karma: +0/-0
    • View Profile
Re: Подключение 3-го узла
« Reply #5 on: November 13, 2017, 01:00:49 pm »
Следующий этап.
Нужно замкнуть кольцо соединением "Fw B" и "Fw C". Сразу вопрос: такая конфигурация возможна?
Канал между "Fw B" и "Fw C" создается, но проблема почти та же - от клиента к серверу проходит vpn-интерфейсы и исчезает, от сервера к клиенту нет вообще ничего. Словно на сервере прервана связь между vpn и физическими интерфейсами. NAT и правила не помогают. Может есть еще какой-то магический пинок?

Offline werter

  • Hero Member
  • *****
  • Posts: 4867
  • Karma: +224/-14
    • View Profile
Re: Подключение 3-го узла
« Reply #6 on: November 14, 2017, 01:36:43 am »
Доброго.
Quote
Нужно замкнуть кольцо соединением "Fw B" и "Fw C". Сразу вопрос: такая конфигурация возможна?
Для чего? Резервный канал? Точнее ТЗ, пож-та.

Offline pigbrother

  • Hero Member
  • *****
  • Posts: 1685
  • Karma: +209/-2
    • View Profile
Re: Подключение 3-го узла
« Reply #7 on: November 14, 2017, 02:02:44 am »
И еще. Я бы перекл. в Firewall / NAT / Outbound  режим Outbound NAT Mode на Hybrid Outbound NAT rule generation. Создал бы явное Mappings на vpn-интерфейсе , в к -ом откл. NAT для локальных сетей впн- клиентов. Для чего ? Чтобы при проблемах (вирусы и т.д) точно знать с какого адреса из лок. сети впн-клиента лезет кака.

А вот тут не понял. Несколько Open VPN site-to-site c и Remote access с центральным офисом.  Outbound NAT - hybrid.
pfSense, естественно , создал Automatic Rule для всех сетей, включая сети Open VPN c трансляцией их в WAN address.

Создал бы явное Mappings на vpn-интерфейсе , в к -ом откл. NAT для локальных сетей впн- клиентов. Для чего ? Чтобы при проблемах (вирусы и т.д) точно знать с какого адреса из лок. сети впн-клиента лезет кака.

Такого правила не создавал,  однако через site-to-site из сети в сеть попадаю с локальным адресом ПК из той сети, в которой ПК находится.
На клиентах site-to-site - тоже никакого NAT.
RA-клиент, естественно, видится со своим "туннельным" IP.

Т.е. если я верно понимаю, несмотря на то, что сети Open VPN и NATятся в WAN в , реально их пакеты ходят по  маршрутам согласно таблице маршрутов без попыток заNATить их.
« Last Edit: November 14, 2017, 02:25:11 am by pigbrother »

Offline MStar

  • Newbie
  • *
  • Posts: 19
  • Karma: +0/-0
    • View Profile
Re: Подключение 3-го узла
« Reply #8 on: November 14, 2017, 02:30:12 am »
ТЗ: сеть из семи файерволов по схеме "каждый с каждым". На данном начальном участке fw B является точкой запроса медиаконтента и на него переадресуются запросы с клиентов сетей fw A и fw C. Поток очень значительный (ТВ высокой четкости) так что пересылать его через несколько узлов не желательно.

Offline MStar

  • Newbie
  • *
  • Posts: 19
  • Karma: +0/-0
    • View Profile
Re: Подключение 3-го узла
« Reply #9 on: November 14, 2017, 02:49:01 am »
Т.е. если я верно понимаю, несмотря на то, что сети Open VPN и NATятся в WAN в , реально их пакеты ходят по  маршрутам согласно таблице маршрутов без попыток заNATить их.

Видете ли, я тут столкнулся с несколькими неприятными чудЕсами. Соединение первых двух fw работает без всякого NAT. Соединение третьего fw с первым не отрабатывало маршрутизацию правильно до назначения NAT для ОДНОЙ из сетей клиента, но теперь работают все ПЯТЬ. Соединение третьего fw со вторым не отрабатывает маршрутизацию ни с NAT ни без (выше есть скриншоты).
Если можете, пожалуйста посмотрите приложения к предыдущему сообщению. Может я просто уже не вижу какую-то тривиальную ошибку?

Offline MStar

  • Newbie
  • *
  • Posts: 19
  • Karma: +0/-0
    • View Profile
Re: Подключение 3-го узла
« Reply #10 on: November 14, 2017, 06:32:23 am »
В общем, причина ясна - не поключается таблица маршрутизации к серверному интерфейсу OpenVPN. Один только собственный адрес виден. Хотя в общей таблице маршрутизации видны остальные сети клиента. Но что мешает подключению или как его принудить подключать таблицу?
« Last Edit: November 14, 2017, 12:15:10 pm by MStar »

Offline MStar

  • Newbie
  • *
  • Posts: 19
  • Karma: +0/-0
    • View Profile
Re: Подключение 3-го узла
« Reply #11 on: November 14, 2017, 07:53:03 am »
pfSense, естественно , создал Automatic Rule для всех сетей, включая сети Open VPN c трансляцией их в WAN address.

Очень интересно, а у меня pfSence создал правила только для физических интерфейсов, для OpenVPN никаких NAT-правил не было. И переключение с Hibrid на Automatic и обратно ничего не дает. Можно подробнее?

Offline werter

  • Hero Member
  • *****
  • Posts: 4867
  • Karma: +224/-14
    • View Profile
Re: Подключение 3-го узла
« Reply #12 on: November 14, 2017, 09:11:41 am »
Т.е. если я верно понимаю, несмотря на то, что сети Open VPN и NATятся в WAN в , реально их пакеты ходят по  маршрутам согласно таблице маршрутов без попыток заNATить их.

Локальные адреса сетей натятся в адреса своих концов туннеля, а не WAN.
А так - нужно проверять. Будет время - отпишу. Может в 2.4.х что-то и изменилось в этом плане.

Offline MStar

  • Newbie
  • *
  • Posts: 19
  • Karma: +0/-0
    • View Profile
Re: Подключение 3-го узла
« Reply #13 on: November 14, 2017, 11:12:55 am »
Коллеги, по моему вопросу есть ли какие-нибудь соображения?

Offline pigbrother

  • Hero Member
  • *****
  • Posts: 1685
  • Karma: +209/-2
    • View Profile
Re: Подключение 3-го узла
« Reply #14 on: November 14, 2017, 02:09:06 pm »
pfSense, естественно , создал Automatic Rule для всех сетей, включая сети Open VPN c трансляцией их в WAN address.

Очень интересно, а у меня pfSence создал правила только для физических интерфейсов, для OpenVPN никаких NAT-правил не было. И переключение с Hibrid на Automatic и обратно ничего не дает. Можно подробнее?

Давным-давно (еще в 2.1 или даже в 2.0) переключил NAT с автоматического в manual для добавления пара правил NAT. Обновился до 2.3.х. Потом эти правила стали не нужны и были удалены, из manual NAT  переключился в hybrid. В Automatic Rules получил такое:
Code: [Select]
WAN 127.0.0.0/8  a.a.2.0/24 b.b.100.0/24 10.11.12.0/24 10.11.11.0/24 10.11.10.0/24 * * 500 WAN address * Auto created rule for ISAKMP
WAN 127.0.0.0/8  a.a.2.0/24 b.b.100.0/24 10.11.12.0/24 10.11.11.0/24 10.11.10.0/24 * * * WAN address * Auto created rule

a.a.2.0 - LAN,   b.b.100.0/24 - DMZ. 10.11.12.0/24 10.11.11.0/24 10.11.10.0/24 - сети туннелей RA и site-to-site клиентов Open VPN, котрые в интернет через Open VPN не ходят.
Интерфейсы для Open VPN не создавались.