pfsense 2.0.2 OpenVPN <==> DD-WRT Router
Добавлено: 2013-01-29 17:49:51
Товарищи нужна ваша помощь. Чёт двое суток бьюсь не могу вкурить почему пинги ходят, а доступ к хостам какой то хрен знает какой.
Задача: Есть офис. Есть несколько удаленных площадок. Везде есть интернет. В офисе поднял OpenVPN сервер на pfsense. Хочу связать локальные подсети офиса и удаленных площадок через OpenVPN в режиме Site-to-Site
Основная Цель - установка IP телефона на площадке. Для подключения телефона решил взять железку поддерживающую OpenVPN которая должна маршрутизировать траффик из локальной подсети удаленной площадки в локальную сеть офиса. Выбрал Dir-632 т.к. вполне недорогой аггрегат и поддерживает DD-WRT в котором уже вшит OpenVPN клиент.
настраивал по ману: http://glycogen.net/2012/12/01/pfsense- ... t-clients/
Настроил OpenVPN Site-to-site подключение между pfsense и маршрутизатором D-Link Dir-632.
только в мане настройка клиента, а мне нужна полносвязанные сети так что чуток поправил конфиги для site-to-site (SSL/TLS) подключения
Конфигурация сетей :
1-я сеть 192.168.251.0/24 - головной офис
2-я сеть 192.168.1.0/24 - сеть поднимаемая маршрутизатором.
Как маршрутизатор с DD-WRT будет подключаться к интернету не критично, т.к. задача гнать траффик через OpenVPN тууннель.
Туннель поднялся, пинги ходят. Во второй сети есть Citrix XENServer (на рисунке 192.168.1.142). Пинги к нему идут, по SSH к нему подключаюсь, а Control Center подключиться не может.
Втыкал во вторую сеть свой комп, подключался к нему по RDP. IP телефон поставленный во 2-ю сеть видит свою АТС (она сидит в 1-й сети), но при любом звонке (входящий/исходящий) я не слышу ничего, меня при этом слышно отлично.
Т.е. что то работает, что то не работает. В чём затык понять не могу, т.к. везде всё открыто в любую сторону.
И так, Конфиги сервера:
На pfsence отключил файервол вообще, т.к. он работает только как VPN концентратор, стоит за NATом, но поднимать туннель это в общем то не мешает.
на pfsense подняты 2 сетевых интерфейса, оба смотрят в 192.168.251.0. Планировал его прозрачной проксёй сделать, но как нибудь потом. Может тут косяк и зарылся, хз.
Настройка сервера OpenVPN:
netstat -rn
если что ещё нужно говорите допишу.
Конфиги маршрутизатора:
Если есть идеи - буду рад прислушаться.
Задача: Есть офис. Есть несколько удаленных площадок. Везде есть интернет. В офисе поднял OpenVPN сервер на pfsense. Хочу связать локальные подсети офиса и удаленных площадок через OpenVPN в режиме Site-to-Site
Основная Цель - установка IP телефона на площадке. Для подключения телефона решил взять железку поддерживающую OpenVPN которая должна маршрутизировать траффик из локальной подсети удаленной площадки в локальную сеть офиса. Выбрал Dir-632 т.к. вполне недорогой аггрегат и поддерживает DD-WRT в котором уже вшит OpenVPN клиент.
настраивал по ману: http://glycogen.net/2012/12/01/pfsense- ... t-clients/
Настроил OpenVPN Site-to-site подключение между pfsense и маршрутизатором D-Link Dir-632.
только в мане настройка клиента, а мне нужна полносвязанные сети так что чуток поправил конфиги для site-to-site (SSL/TLS) подключения
Конфигурация сетей :
1-я сеть 192.168.251.0/24 - головной офис
2-я сеть 192.168.1.0/24 - сеть поднимаемая маршрутизатором.
Как маршрутизатор с DD-WRT будет подключаться к интернету не критично, т.к. задача гнать траффик через OpenVPN тууннель.
Туннель поднялся, пинги ходят. Во второй сети есть Citrix XENServer (на рисунке 192.168.1.142). Пинги к нему идут, по SSH к нему подключаюсь, а Control Center подключиться не может.
Втыкал во вторую сеть свой комп, подключался к нему по RDP. IP телефон поставленный во 2-ю сеть видит свою АТС (она сидит в 1-й сети), но при любом звонке (входящий/исходящий) я не слышу ничего, меня при этом слышно отлично.
Т.е. что то работает, что то не работает. В чём затык понять не могу, т.к. везде всё открыто в любую сторону.
И так, Конфиги сервера:
На pfsence отключил файервол вообще, т.к. он работает только как VPN концентратор, стоит за NATом, но поднимать туннель это в общем то не мешает.
на pfsense подняты 2 сетевых интерфейса, оба смотрят в 192.168.251.0. Планировал его прозрачной проксёй сделать, но как нибудь потом. Может тут косяк и зарылся, хз.
Настройка сервера OpenVPN:
Код: Выделить всё
dev ovpns1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-128-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 192.168.251.38
tls-server
server 10.0.8.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc
ifconfig 10.0.8.1 10.0.8.2
lport 3333
management /var/etc/openvpn/server1.sock unix
max-clients 10
push "route 192.168.251.0 255.255.255.0"
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /etc/dh-parameters.1024
comp-lzo
persist-remote-ip
float
push "route 192.168.1.0 255.255.255.0"
route 192.168.1.0 255.255.255.0
Код: Выделить всё
Internet:
Destination Gateway Flags Refs Use Netif Expire
default 192.168.251.254 UGS 0 46052 re0
10.0.7.0/24 10.0.7.2 UGS 0 2389 ovpns2
10.0.7.1 link#9 UHS 0 0 lo0
10.0.7.2 link#9 UH 0 0 ovpns2
10.0.8.0/24 10.0.8.2 UGS 0 5 ovpns1
10.0.8.1 link#8 UHS 0 0 lo0
10.0.8.2 link#8 UH 0 0 ovpns1
127.0.0.1 link#7 UH 0 109 lo0
192.168.1.0/24 10.0.8.2 UGS 0 65734 ovpns1
192.168.251.0/24 link#1 U 0 209030 re0
192.168.251.3 link#2 UHS 0 0 lo0
192.168.251.38 link#1 UHS 0 0 lo0
192.168.251.243 5a:14:f1:4a:13:09 UHS 0 272 re0
Конфиги маршрутизатора:
Код: Выделить всё
root@DD-WRT:~# cat /tmp/openvpncl/openvpn.conf
ca /tmp/openvpncl/ca.crt
cert /tmp/openvpncl/client.crt
key /tmp/openvpncl/client.key
management 127.0.0.1 5001
management-log-cache 50
verb 4
mute 5
log-append /var/log/openvpncl
writepid /var/run/openvpncl.pid
client
resolv-retry infinite
nobind
persist-key
persist-tun
script-security 2
mtu-disc yes
dev tun1
proto udp
cipher aes-128-cbc
auth sha1
remote vpn.domen.ru 3333
tls-client
tun-mtu 1500
comp-lzo yes
fast-io
Код: Выделить всё
iptables -I INPUT -i tun0 -j ACCEPT
iptables -I INPUT -i br0 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A OUTPUT -o br0 -j ACCEPT