OpenVPN pFsense

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Igor.Ivanov
рядовой
Сообщения: 32
Зарегистрирован: 2012-11-24 12:19:31

OpenVPN pFsense

Непрочитанное сообщение Igor.Ivanov » 2013-03-19 8:49:45

доброго утра!

помогите, пожалуйста, решить проблему с подключением клиентов к openvpn серверу.
имеется шлюз pfsense на котором поднят vpnserver.
проблема в следующем, при подключении клиента задается ip из выделенного диапазона для vpn тунеля, собственно сам туннель поднимается.
но vpn клиент не видит сеть находящуюся за vpn сервером. icmp идет до LAN интерфейса на сервере, но не дальше...

конфиг сервера /var/etc/openvpn/server2.conf:

Код: Выделить всё

dev ovpns2
dev-type tun
dev-node /dev/tun2
writepid /var/run/openvpn_server2.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-128-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local AAA.BBB.CCC.DDD
tls-server
server 172.24.164.224 255.255.255.240
client-config-dir /var/etc/openvpn-csc
client-cert-not-required
username-as-common-name
auth-user-pass-verify /var/etc/openvpn/server2.php via-env
tls-verify /var/etc/openvpn/server2.tls-verify.php
lport 1195
management /var/etc/openvpn/server2.sock unix
max-clients 8
push "route 172.24.164.0 255.255.255.0"
push "dhcp-option DOMAIN domain.local"
push "dhcp-option DNS 172.24.164.10"
push "dhcp-option NTP 172.24.164.10"
ca /var/etc/openvpn/server2.ca
cert /var/etc/openvpn/server2.cert
key /var/etc/openvpn/server2.key
dh /etc/dh-parameters.1024
comp-lzo
persist-remote-ip
float

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

ChihPih
ст. прапорщик
Сообщения: 566
Зарегистрирован: 2009-09-04 12:23:30
Откуда: Где-то в России...
Контактная информация:

Re: OpenVPN pFsense

Непрочитанное сообщение ChihPih » 2013-03-19 8:55:45

Если выдаете IP адреса из диапазона, который используется для вашей локальной сети, тогда настраивайте мост. Если нет, тогда у клиентов надо указывать либо шлюз по умолчанию, либо маршруты прописывать.
www.info-x.org - информационный ресурс о ОС FreeBSD.

Igor.Ivanov
рядовой
Сообщения: 32
Зарегистрирован: 2012-11-24 12:19:31

Re: OpenVPN pFsense

Непрочитанное сообщение Igor.Ivanov » 2013-03-19 9:19:14

создаю интерфейс OPT1 c Network port ovpns2 (имя vpn сервера), объединяю их в Bridge.
но ситуация не меняет.

ChihPih
ст. прапорщик
Сообщения: 566
Зарегистрирован: 2009-09-04 12:23:30
Откуда: Где-то в России...
Контактная информация:

Re: OpenVPN pFsense

Непрочитанное сообщение ChihPih » 2013-03-19 10:26:35

tcpdump,ом на интерфейсе смотрите куда трифик идет и с какими адресами, при пинге например.
www.info-x.org - информационный ресурс о ОС FreeBSD.

Igor.Ivanov
рядовой
Сообщения: 32
Зарегистрирован: 2012-11-24 12:19:31

Re: OpenVPN pFsense

Непрочитанное сообщение Igor.Ivanov » 2013-03-19 12:43:43

делаю следующее

Код: Выделить всё

tcpdump -i ovpns2
и вижу, что от клиента vpn идут только запросы к клиенту на LAN

Код: Выделить всё

13:28:30.982820 IP 172.24.164.230 > 172.24.164.111: ICMP echo request, id 1, seq
после

Код: Выделить всё

tcpdump -i em0 host 172.24.164.230
вижу. что

Код: Выделить всё

13:38:24.486417 ARP, Request who-has 172.24.164.230 tell 172.24.164.111, length 46
13:38:25.404838 ARP, Request who-has 172.24.164.230 tell 172.24.164.111, length 46
13:38:26.404831 ARP, Request who-has 172.24.164.230 tell 172.24.164.111, length 46
получается, что сеть LAN не знает сети для VPN....
подскажите, что дальше сделать?
прописать маршрут?
или бриджем должны пакеты идти, и по каким-то причинам не идут

ChihPih
ст. прапорщик
Сообщения: 566
Зарегистрирован: 2009-09-04 12:23:30
Откуда: Где-то в России...
Контактная информация:

Re: OpenVPN pFsense

Непрочитанное сообщение ChihPih » 2013-03-19 13:49:31

Щас увидел - может вместо директивы server в конфиге использовать server-bridge?
www.info-x.org - информационный ресурс о ОС FreeBSD.

Igor.Ivanov
рядовой
Сообщения: 32
Зарегистрирован: 2012-11-24 12:19:31

Re: OpenVPN pFsense

Непрочитанное сообщение Igor.Ivanov » 2013-03-19 14:07:42

все понял. я делаю на pfsense. и если прописать в файле конфигурации ручками то, после openvpn сервер не поднимается.
а в вебинтерфейсе такого функционала как server-bridge не вижу.
либо я слепой, либо такой функционал не доступен в pfsense.
поднял тунель не на сети из диапазона lan.
спасибо ChihPih!

mak_v_
проходил мимо

Re: OpenVPN pFsense

Непрочитанное сообщение mak_v_ » 2013-03-19 14:09:13

забудьте про мост (имхо грабли) настройте маршрутизацию

Igor.Ivanov
рядовой
Сообщения: 32
Зарегистрирован: 2012-11-24 12:19:31

Re: OpenVPN pFsense

Непрочитанное сообщение Igor.Ivanov » 2013-03-19 14:28:32

Странно то, что если указать

Код: Выделить всё

server 172.24.167.0 255.255.255.240
push "route 172.24.164.0 255.255.252.0"
и на Lan'е указать сеть 172.24.164.0 255.255.252.0.
т.е. получается, что выдаются IP адреса из диапазона, который используется для локальной сети. то клиент openvpn видит внутреннюю сеть без всякой настройки мостов и т.п.