forum.lissyara.su

Добавлено: **2013-03-19 8:49:45**

доброго утра!

помогите, пожалуйста, решить проблему с подключением клиентов к openvpn серверу.
имеется шлюз pfsense на котором поднят vpnserver.
проблема в следующем, при подключении клиента задается ip из выделенного диапазона для vpn тунеля, собственно сам туннель поднимается.
но vpn клиент не видит сеть находящуюся за vpn сервером. icmp идет до LAN интерфейса на сервере, но не дальше...

конфиг сервера /var/etc/openvpn/server2.conf:

Код: Выделить всё

dev ovpns2
dev-type tun
dev-node /dev/tun2
writepid /var/run/openvpn_server2.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-128-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local AAA.BBB.CCC.DDD
tls-server
server 172.24.164.224 255.255.255.240
client-config-dir /var/etc/openvpn-csc
client-cert-not-required
username-as-common-name
auth-user-pass-verify /var/etc/openvpn/server2.php via-env
tls-verify /var/etc/openvpn/server2.tls-verify.php
lport 1195
management /var/etc/openvpn/server2.sock unix
max-clients 8
push "route 172.24.164.0 255.255.255.0"
push "dhcp-option DOMAIN domain.local"
push "dhcp-option DNS 172.24.164.10"
push "dhcp-option NTP 172.24.164.10"
ca /var/etc/openvpn/server2.ca
cert /var/etc/openvpn/server2.cert
key /var/etc/openvpn/server2.key
dh /etc/dh-parameters.1024
comp-lzo
persist-remote-ip
float

Добавлено: **2013-03-19 8:55:45**

Если выдаете IP адреса из диапазона, который используется для вашей локальной сети, тогда настраивайте мост. Если нет, тогда у клиентов надо указывать либо шлюз по умолчанию, либо маршруты прописывать.

Добавлено: **2013-03-19 9:19:14**

создаю интерфейс OPT1 c Network port ovpns2 (имя vpn сервера), объединяю их в Bridge.
но ситуация не меняет.

Добавлено: **2013-03-19 10:26:35**

tcpdump,ом на интерфейсе смотрите куда трифик идет и с какими адресами, при пинге например.

Добавлено: **2013-03-19 12:43:43**

делаю следующее

Код: Выделить всё

tcpdump -i ovpns2

и вижу, что от клиента vpn идут только запросы к клиенту на LAN

Код: Выделить всё

13:28:30.982820 IP 172.24.164.230 > 172.24.164.111: ICMP echo request, id 1, seq

после

Код: Выделить всё

tcpdump -i em0 host 172.24.164.230

вижу. что

Код: Выделить всё

13:38:24.486417 ARP, Request who-has 172.24.164.230 tell 172.24.164.111, length 46
13:38:25.404838 ARP, Request who-has 172.24.164.230 tell 172.24.164.111, length 46
13:38:26.404831 ARP, Request who-has 172.24.164.230 tell 172.24.164.111, length 46

получается, что сеть LAN не знает сети для VPN....
подскажите, что дальше сделать?
прописать маршрут?
или бриджем должны пакеты идти, и по каким-то причинам не идут

Добавлено: **2013-03-19 13:49:31**

Щас увидел - может вместо директивы server в конфиге использовать server-bridge?

Добавлено: **2013-03-19 14:07:42**

все понял. я делаю на pfsense. и если прописать в файле конфигурации ручками то, после openvpn сервер не поднимается.
а в вебинтерфейсе такого функционала как server-bridge не вижу.
либо я слепой, либо такой функционал не доступен в pfsense.
поднял тунель не на сети из диапазона lan.
спасибо ChihPih!

Добавлено: **2013-03-19 14:09:13**

забудьте про мост (имхо грабли) настройте маршрутизацию

Добавлено: **2013-03-19 14:28:32**

Странно то, что если указать

Код: Выделить всё

server 172.24.167.0 255.255.255.240
push "route 172.24.164.0 255.255.252.0"

и на Lan'е указать сеть 172.24.164.0 255.255.252.0.
т.е. получается, что выдаются IP адреса из диапазона, который используется для локальной сети. то клиент openvpn видит внутреннюю сеть без всякой настройки мостов и т.п.

forum.lissyara.su

OpenVPN pFsense

OpenVPN pFsense

Re: OpenVPN pFsense

Re: OpenVPN pFsense

Re: OpenVPN pFsense

Re: OpenVPN pFsense

Re: OpenVPN pFsense

Re: OpenVPN pFsense

Re: OpenVPN pFsense

Re: OpenVPN pFsense