OpenVPN pFsense

[Igor.Ivanov]

доброго утра!

помогите, пожалуйста, решить проблему с подключением клиентов к openvpn серверу.
имеется шлюз pfsense на котором поднят vpnserver.
проблема в следующем, при подключении клиента задается ip из выделенного диапазона для vpn тунеля, собственно сам туннель поднимается.
но vpn клиент не видит сеть находящуюся за vpn сервером. icmp идет до LAN интерфейса на сервере, но не дальше...

конфиг сервера /var/etc/openvpn/server2.conf:

Код: Выделить всё

dev ovpns2
dev-type tun
dev-node /dev/tun2
writepid /var/run/openvpn_server2.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-128-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local AAA.BBB.CCC.DDD
tls-server
server 172.24.164.224 255.255.255.240
client-config-dir /var/etc/openvpn-csc
client-cert-not-required
username-as-common-name
auth-user-pass-verify /var/etc/openvpn/server2.php via-env
tls-verify /var/etc/openvpn/server2.tls-verify.php
lport 1195
management /var/etc/openvpn/server2.sock unix
max-clients 8
push "route 172.24.164.0 255.255.255.0"
push "dhcp-option DOMAIN domain.local"
push "dhcp-option DNS 172.24.164.10"
push "dhcp-option NTP 172.24.164.10"
ca /var/etc/openvpn/server2.ca
cert /var/etc/openvpn/server2.cert
key /var/etc/openvpn/server2.key
dh /etc/dh-parameters.1024
comp-lzo
persist-remote-ip
float

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[ChihPih]

Если выдаете IP адреса из диапазона, который используется для вашей локальной сети, тогда настраивайте мост. Если нет, тогда у клиентов надо указывать либо шлюз по умолчанию, либо маршруты прописывать.

[Igor.Ivanov]

создаю интерфейс OPT1 c Network port ovpns2 (имя vpn сервера), объединяю их в Bridge.
но ситуация не меняет.

[ChihPih]

tcpdump,ом на интерфейсе смотрите куда трифик идет и с какими адресами, при пинге например.

[Igor.Ivanov]

делаю следующее

Код: Выделить всё

tcpdump -i ovpns2

и вижу, что от клиента vpn идут только запросы к клиенту на LAN

Код: Выделить всё

13:28:30.982820 IP 172.24.164.230 > 172.24.164.111: ICMP echo request, id 1, seq

после

Код: Выделить всё

tcpdump -i em0 host 172.24.164.230

вижу. что

Код: Выделить всё

13:38:24.486417 ARP, Request who-has 172.24.164.230 tell 172.24.164.111, length 46
13:38:25.404838 ARP, Request who-has 172.24.164.230 tell 172.24.164.111, length 46
13:38:26.404831 ARP, Request who-has 172.24.164.230 tell 172.24.164.111, length 46

получается, что сеть LAN не знает сети для VPN....
подскажите, что дальше сделать?
прописать маршрут?
или бриджем должны пакеты идти, и по каким-то причинам не идут

[ChihPih]

Щас увидел - может вместо директивы server в конфиге использовать server-bridge?

[Igor.Ivanov]

все понял. я делаю на pfsense. и если прописать в файле конфигурации ручками то, после openvpn сервер не поднимается.
а в вебинтерфейсе такого функционала как server-bridge не вижу.
либо я слепой, либо такой функционал не доступен в pfsense.
поднял тунель не на сети из диапазона lan.
спасибо ChihPih!

[mak_v_]

забудьте про мост (имхо грабли) настройте маршрутизацию

[Igor.Ivanov]

Странно то, что если указать

Код: Выделить всё

server 172.24.167.0 255.255.255.240
push "route 172.24.164.0 255.255.252.0"

и на Lan'е указать сеть 172.24.164.0 255.255.252.0.
т.е. получается, что выдаются IP адреса из диапазона, который используется для локальной сети. то клиент openvpn видит внутреннюю сеть без всякой настройки мостов и т.п.