pfsense 2.0.2 OpenVPN <==> DD-WRT Router

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Mobilesfinks
мл. сержант
Сообщения: 128
Зарегистрирован: 2008-04-14 14:49:48
Контактная информация:

pfsense 2.0.2 OpenVPN <==> DD-WRT Router

Непрочитанное сообщение Mobilesfinks » 2013-01-29 17:49:51

Товарищи нужна ваша помощь. Чёт двое суток бьюсь не могу вкурить почему пинги ходят, а доступ к хостам какой то хрен знает какой.

Задача: Есть офис. Есть несколько удаленных площадок. Везде есть интернет. В офисе поднял OpenVPN сервер на pfsense. Хочу связать локальные подсети офиса и удаленных площадок через OpenVPN в режиме Site-to-Site
Основная Цель - установка IP телефона на площадке. Для подключения телефона решил взять железку поддерживающую OpenVPN которая должна маршрутизировать траффик из локальной подсети удаленной площадки в локальную сеть офиса. Выбрал Dir-632 т.к. вполне недорогой аггрегат и поддерживает DD-WRT в котором уже вшит OpenVPN клиент.


настраивал по ману: http://glycogen.net/2012/12/01/pfsense- ... t-clients/
Настроил OpenVPN Site-to-site подключение между pfsense и маршрутизатором D-Link Dir-632.
только в мане настройка клиента, а мне нужна полносвязанные сети так что чуток поправил конфиги для site-to-site (SSL/TLS) подключения

Конфигурация сетей
OpenVPN_DDWRT.png
:
1-я сеть 192.168.251.0/24 - головной офис
2-я сеть 192.168.1.0/24 - сеть поднимаемая маршрутизатором.
Как маршрутизатор с DD-WRT будет подключаться к интернету не критично, т.к. задача гнать траффик через OpenVPN тууннель.
Туннель поднялся, пинги ходят. Во второй сети есть Citrix XENServer (на рисунке 192.168.1.142). Пинги к нему идут, по SSH к нему подключаюсь, а Control Center подключиться не может.
Втыкал во вторую сеть свой комп, подключался к нему по RDP. IP телефон поставленный во 2-ю сеть видит свою АТС (она сидит в 1-й сети), но при любом звонке (входящий/исходящий) я не слышу ничего, меня при этом слышно отлично.
Т.е. что то работает, что то не работает. В чём затык понять не могу, т.к. везде всё открыто в любую сторону.

И так, Конфиги сервера:
На pfsence отключил файервол вообще, т.к. он работает только как VPN концентратор, стоит за NATом, но поднимать туннель это в общем то не мешает.
на pfsense подняты 2 сетевых интерфейса, оба смотрят в 192.168.251.0. Планировал его прозрачной проксёй сделать, но как нибудь потом. Может тут косяк и зарылся, хз.
Настройка сервера OpenVPN:

Код: Выделить всё

dev ovpns1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-128-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 192.168.251.38
tls-server
server 10.0.8.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc
ifconfig 10.0.8.1 10.0.8.2
lport 3333
management /var/etc/openvpn/server1.sock unix
max-clients 10
push "route 192.168.251.0 255.255.255.0"
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /etc/dh-parameters.1024
comp-lzo
persist-remote-ip
float
push "route 192.168.1.0 255.255.255.0"
route 192.168.1.0 255.255.255.0
netstat -rn

Код: Выделить всё

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            192.168.251.254    UGS         0    46052    re0
10.0.7.0/24        10.0.7.2           UGS         0     2389 ovpns2
10.0.7.1           link#9             UHS         0        0    lo0
10.0.7.2           link#9             UH          0        0 ovpns2
10.0.8.0/24        10.0.8.2           UGS         0        5 ovpns1
10.0.8.1           link#8             UHS         0        0    lo0
10.0.8.2           link#8             UH          0        0 ovpns1
127.0.0.1          link#7             UH          0      109    lo0
192.168.1.0/24     10.0.8.2           UGS         0    65734 ovpns1
192.168.251.0/24   link#1             U           0   209030    re0
192.168.251.3      link#2             UHS         0        0    lo0
192.168.251.38     link#1             UHS         0        0    lo0
192.168.251.243    5a:14:f1:4a:13:09  UHS         0      272    re0
если что ещё нужно говорите допишу.


Конфиги маршрутизатора:

Код: Выделить всё

root@DD-WRT:~# cat /tmp/openvpncl/openvpn.conf
ca /tmp/openvpncl/ca.crt
cert /tmp/openvpncl/client.crt
key /tmp/openvpncl/client.key
management 127.0.0.1 5001
management-log-cache 50
verb 4
mute 5
log-append /var/log/openvpncl
writepid /var/run/openvpncl.pid
client
resolv-retry infinite
nobind
persist-key
persist-tun
script-security 2
mtu-disc yes
dev tun1
proto udp
cipher aes-128-cbc
auth sha1
remote vpn.domen.ru 3333
tls-client
tun-mtu 1500
comp-lzo yes
fast-io

Код: Выделить всё

iptables -I INPUT -i tun0 -j ACCEPT
iptables -I INPUT -i br0 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -m state --state RELATED,ESTABLISHED  -j ACCEPT
iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A OUTPUT -o br0 -j ACCEPT
Если есть идеи - буду рад прислушаться.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

mak_v_
проходил мимо

Re: pfsense 2.0.2 OpenVPN <==> DD-WRT Router

Непрочитанное сообщение mak_v_ » 2013-01-30 1:39:31

На вскидку: Трассировку от 1.242 до АТС и обратную...есть предположение, что нат работает где-то...

Mobilesfinks
мл. сержант
Сообщения: 128
Зарегистрирован: 2008-04-14 14:49:48
Контактная информация:

Re: pfsense 2.0.2 OpenVPN <==> DD-WRT Router

Непрочитанное сообщение Mobilesfinks » 2013-01-30 9:54:43

c .1.142 до .251.254

Код: Выделить всё

[root@localhost ~]# tracepath 192.168.251.254
 1:  192.168.1.142 (192.168.1.142)                          0.097ms pmtu 1500
 1:  DD-WRT (192.168.1.1)                                   0.887ms
 2:  10.0.8.1 (10.0.8.1)                                    3.869ms
 3:  192.168.251.254 (192.168.251.254)                      6.706ms reached
     Resume: pmtu 1500 hops 3 back 3
со стороны .1.142 до .251.59 (хост в сети)

Код: Выделить всё

[root@localhost ~]# tracepath 192.168.251.59
 1:  192.168.1.142 (192.168.1.142)                          0.094ms pmtu 1500
 1:  DD-WRT (192.168.1.1)                                   0.814ms
 2:  10.0.8.1 (10.0.8.1)                                    3.853ms
 3:  no reply
со стороны .251.59 до .1.142

Код: Выделить всё

C:\Users\user>tracert 192.168.1.142
Трассировка маршрута к 192.168.1.142 с максимальным числом прыжков 30
  1    <1 мс    <1 мс    <1 мс  192.168.251.38
  2     4 ms     4 ms     4 ms  10.0.8.6
  3     5 ms     4 ms     4 ms  192.168.1.142

Трассировка завершена.
что то с маршрутами криво замутил походу.

mak_v_
проходил мимо

Re: pfsense 2.0.2 OpenVPN <==> DD-WRT Router

Непрочитанное сообщение mak_v_ » 2013-01-30 10:11:58

Исходя из второй трасировки - у вас либо "нат на все" в "центре", либо какие-то грабли с маршрутизацией на 10.0.8.1

ashapiro
проходил мимо

Re: pfsense 2.0.2 OpenVPN <==> DD-WRT Router

Непрочитанное сообщение ashapiro » 2013-02-11 22:27:48

Здравствуйте.

попробуйте добавить это в конфиг сервера:

Код: Выделить всё

# Uncomment this directive to allow different
# clients to be able to "see" each other.
# By default, clients will only see the server.
# To force clients to only see the server, you
# will also need to appropriately firewall the
# server's TUN/TAP interface.
;client-to-client

Mobilesfinks
мл. сержант
Сообщения: 128
Зарегистрирован: 2008-04-14 14:49:48
Контактная информация:

Re: pfsense 2.0.2 OpenVPN <==> DD-WRT Router

Непрочитанное сообщение Mobilesfinks » 2013-02-12 9:48:36

Спасибо большое всем.
Не было времени написать раньше - был в командировке.
Помогла трассировка с разных узлов. Нашёл сначала затык на шлюзе PFSENCE - настройка фаервола - доточил, частично заработало. Стали звонки проходить на телефоны офиса, но не проходили звонки на вторую удаленную площадку. Оказалось банально - маршрут прописал и всё заработало.
Спасибо всем за помощь.

Hiks
проходил мимо
Сообщения: 1
Зарегистрирован: 2013-03-01 7:29:23

Re: pfsense 2.0.2 OpenVPN <==> DD-WRT Router

Непрочитанное сообщение Hiks » 2013-03-01 7:50:33

Извиняюсь что немного не по теме, но хочу задать вопрос. Прокомментируйте пожалуйста слова: "Dir-632 т.к. вполне недорогой аггрегат и поддерживает DD-WRT в котором уже вшит OpenVPN клиент." OpenVPN есть прям в прошивке? Т.е. прошился, зашёл в веб интерфейс, и настроил всё, так, как на dd-wrt MEGA сборка для Broadcom процессоров. Не чего доставлять на dd-wrt не нужно потом? Просто на сколько я знаю MEGA с OpenVPN собиралась только для маршрутизаторов на чипе Broadcom. А в dir-632 стоит Atheros. Я понимаю что openvpn не как не зависит от архитектуры, и может работать как на broadcome так и на Atheros. Короче, в прошивке сразу все есть, и надо только настроить из gui? Или есть пляски с установкой дополнительных пакетов, после прошивки?

Mobilesfinks
мл. сержант
Сообщения: 128
Зарегистрирован: 2008-04-14 14:49:48
Контактная информация:

Re: pfsense 2.0.2 OpenVPN <==> DD-WRT Router

Непрочитанное сообщение Mobilesfinks » 2013-03-01 11:27:11

Да, именно так - поставил DD-WRT и в нём уже OpenVPN есть. У этого роутера flash 8Мб. А в прошивках DD-WRT OpenVPN включен как раз в те образы которые шьются на роутеры с флешем от 8 Мб и выше. Дополнительные пляски по установке пакетов не нужны. Сначала пробовал настроить скриптами, но потом всё получилось через WebGui.

Mobilesfinks
мл. сержант
Сообщения: 128
Зарегистрирован: 2008-04-14 14:49:48
Контактная информация:

Re: pfsense 2.0.2 OpenVPN <==> DD-WRT Router

Непрочитанное сообщение Mobilesfinks » 2013-10-01 19:27:53

Поломал первоначальную настройку, переделал и упёрся в то, что DD-WRT всю подсетку офиса видит, а в от из офиса её не видно было. Очень долго не мог понять где именно был косяк. То что проблема с маршрутами понял сразу, но вот именно как правильно их прописывать и где подсказали.
Пропишите route 192.168.248.0 255.255.255.0 в Advanced сервера OpenVPN на pfSense, а в Client Specific Overrides уберите все и вставьте: iroute 192.168.248.0 255.255.255.0