Netgate SG-1000 microFirewall

Author Topic: Openvpn Хелп... Remote Access и Peer to Peer  (Read 360 times)

0 Members and 1 Guest are viewing this topic.

Offline master_1

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Openvpn Хелп... Remote Access и Peer to Peer
« on: December 14, 2017, 08:15:17 am »
Добрый день.
Нужна ваша помощь, голова уже кипит просто.
Вкратце, есть впн сервер А (локалка 192.168.10.0/24).
Remote Access работает на ура(тунель 10.0.8.0/24).
Стоит задача на том же сервере А поднять еще Peer to Peer. Добавил и настроил, тунель (10.0.9.0/24) поднялся. НО...
С сервера В (локалка 192.168.17.0/24) пингуется вся локалка за сервером А, но с сети за сервером В, пингуется только сервер А. Перерыл интернет но не могу найти решение.

Remote Access (SSL/TLS + User Auth)
 Interface: WAN
 Local port:  1194
 IPv4 Tunnel Network: 10.0.8.0/24
 Redirect IPv4 Gateway  +

Peer to Peer (Shared Key) Server
 Interface: WAN
 Local port:  1195
 IPv4 Tunnel Network: 10.0.9.0/24
 IPv4 Remote network: 192.168.17.0/24

Peer to Peer (Shared Key) Client
 Interface: WAN
 Local port:  1195
 IPv4 Tunnel Network: 10.0.9.0/24
 IPv4 Remote network: 192.168.10.0/24

Rules Server

WAN
States   Protocol   Source   Port   Destination   Port   Gateway   Queue   Schedule   Description   
0 /9 KiB        *   RFC 1918 networks   *   *   *   *   *      Block private networks   
0 /14.55 MiB  *   Reserved Not assigned by IANA   *   *   *   *   *      Block bogon networks   
1 /601 KiB IPv4 UDP   *   *   WAN address   1194 (OpenVPN)   *   none       OpenVPN VPN wizard      
0 /34 KiB IPv4 UDP   *   *   WAN address   1195   *   none       vpn2


LAN
States   Protocol   Source   Port   Destination   Port   Gateway   Queue   Schedule   Description   Actions
2 /45.68 MiB *   *   *   LAN Address   80   *   *      Anti-Lockout Rule   
13 /189.33 MiB IPv4 *   LAN net   *   *   *   *   none       Default allow LAN to any rule      
0 /0 B IPv6 *   LAN net   *   *   *   *   none       Default allow LAN IPv6 to any rule

OpenVPN
States   Protocol   Source   Port   Destination   Port   Gateway   Queue   Schedule   Description   Actions
107 /24.36 MiBIPv4 *   *   *   *   *   *   none       OpenVPN VPN wizard      
0 /0 B IPv4 *   192.168.17.0/24   *   *   *   *   none   
      

Offline pigbrother

  • Hero Member
  • *****
  • Posts: 1807
  • Karma: +228/-2
    • View Profile
Re: Openvpn Хелп... Remote Access и Peer to Peer
« Reply #1 on: December 14, 2017, 12:13:26 pm »
Shared Key давно не пользуюсь, но когда-то помогали правила на LAN:
для клиента
IPv4 *    LAN net    *    192.168.10.0/24    *    *    none
для сервера
IPv4 *    LAN net    *    192.168.17.0/24    *    *    none

Правила поставьте повыше

Ну и убедитесь в наличии правила на  OpenVPN
       
IPv4 *    *    *    *    *    *    none    

Offline master_1

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Re: Openvpn Хелп... Remote Access и Peer to Peer
« Reply #2 on: December 15, 2017, 02:03:31 am »
Все проверил, поправил. Но результат тот же.
С сервера клиента В с меню диагностики все пингуется, а клиенты за сервером пингуют только сервер ВПН А.
Таблица маршрутов сервера клиента

default              *.*.*.181   UGS   193410   1500           em0   
10.0.9.1                 link#8           UH   0           1500           ovpnc1   
10.0.9.2                 link#8           UHS   0           16384   lo0   
127.0.0.1                 link#4           UH   98           16384   lo0   
192.168.10.0/24     10.0.9.1   UGS   0           1500     ovpnc1   
192.168.17.0/24      link#3     U   37440   1500           em1   
192.168.17.1         link#3           UHS   0           16384   lo0   
*.*.*.180/30           link#2           U   158642   1500           em0   
*.*.*.182                 link#2           UHS   0           16384   lo0


Таблица маршрутов сервера

default           192.168.10.100   UGS   193410   1500           hn1   
10.0.8.0.24           10.0.8.2        UGS   195709     1500           ovpns1   
10.0.8.1                 link#7           UHS   0           16384   lo0   
10.0.8.2                 link#7           UH   338           1500    ovpns1
10.0.9.1                 link#8           UHS   0           16384       ovpnc1   
10.0.9.2                 link#8           UH   123149     1500    lo0   
127.0.0.1                 link#1           UH   1171           16384   lo0   
192.168.10.0/24      link#6    U   2199053   1500     hn1   
192.168.10.107       link#6    UHS   0              16384     lo0   
192.168.17.0/24    10.0.9.2    UGS   38            1500     ovpns2
*.*.*.176/30           link#5           U   2159593   1500           hn0   
*.*.*.177                 link#5           UHS   0           16384   lo0   

Offline pigbrother

  • Hero Member
  • *****
  • Posts: 1807
  • Karma: +228/-2
    • View Profile
Re: Openvpn Хелп... Remote Access и Peer to Peer
« Reply #3 on: December 15, 2017, 02:07:45 am »
Файрволлы на на пингуемых компьютерах отключены?
Убедитесь, что шлюзами сетей A и B являются из pfSense.
Приведите трассировку с ПК сети В в сторону ПК сети А.

Offline master_1

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Re: Openvpn Хелп... Remote Access и Peer to Peer
« Reply #4 on: December 15, 2017, 02:43:28 am »
Пингую теминальный сервак,днс сервер и третий pfsense который является dhcp с выходом в нет.

При трасеровке сервера А (192.168.10.107)
1мс 192.168.17.1
1мс 192.168.10.107

При трасеровке например 192.168.10.115 или 192.168.10.100
1мс 192.168.17.1
1мс 10.0.9.1
*
*
*

Не могу понять что не так так как клиенты Remote Access все пингуют в сети А и получают доступ :-\ 

Offline pigbrother

  • Hero Member
  • *****
  • Posts: 1807
  • Karma: +228/-2
    • View Profile
Re: Openvpn Хелп... Remote Access и Peer to Peer
« Reply #5 on: December 15, 2017, 02:55:33 am »
третий pfsense который является dhcp с выходом в нет.

Openvpn сервер поднят не не нем и он является шлюзом по умолчанию для сети, которую пингуете?

Offline master_1

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Re: Openvpn Хелп... Remote Access и Peer to Peer
« Reply #6 on: December 15, 2017, 03:17:03 am »
Да. При подмене шлюза с основного на внп (пк с сети А), копм запинговался с сети В. Но возможно ли где-то поправить чтобы ПК сети А оставались на основном шлюзе (там и дшсп и суриката). Все таки клиенты Remote Access подключаясь к серваку В пингуют и работают с ресурсами сетиА. Хотелось бы для решения впн использовать отдельный сервак.
Очень благодарен за помощь. (а то я один сис админ в канторе и только пол года как начал работать с pfsense)

P.S.: И почему все таки сервер В с раздела диагностики все пингует без дополнительных танцев
« Last Edit: December 15, 2017, 03:21:50 am by master_1 »

Offline pigbrother

  • Hero Member
  • *****
  • Posts: 1807
  • Karma: +228/-2
    • View Profile
Re: Openvpn Хелп... Remote Access и Peer to Peer
« Reply #7 on: December 15, 2017, 03:39:24 am »
2 шлюза в сети - ассиметричная маршрутизация=проблемы.

System - Routing - Gateways
На основном шлюзе по умолчанию, который выпускает в инет нужно добавить шлюз в сеть В с указанием LAN IP OVPN-сервера


и маршрут в сеть B с указанием этого шлюза
в System - Routing - Static Routes

Или делать
route add на каждом ПК, в сети А к которому нужен доступ из B
« Last Edit: December 15, 2017, 03:45:01 am by pigbrother »

Offline werter

  • Hero Member
  • *****
  • Posts: 5184
  • Karma: +248/-15
    • View Profile
Re: Openvpn Хелп... Remote Access и Peer to Peer
« Reply #8 on: December 15, 2017, 04:00:19 am »
Доброго.

Quote
Да. При подмене шлюза с основного на внп (пк с сети А), копм запинговался с сети В. Но возможно ли где-то поправить чтобы ПК сети А оставались на основном шлюзе (там и дшсп и суриката). Все таки клиенты Remote Access подключаясь к серваку В пингуют и работают с ресурсами сетиА
http://skeletor.org.ua/?p=5374

Или через dhcp выдавать маршруты https://forum.pfsense.org/index.php?topic=74903.0

Quote
Хотелось бы для решения впн использовать отдельный сервак
https://pritunl.com/

Quote
а то я один сис админ в канторе
Виртуализация - https://forum.pfsense.org/index.php?topic=136398.0