25 января 2021, 22:38

Цитата дня:

Праздник нужно всегда носить с собой. Эрнест Хемингуэй


pfSense OpenVPN vs IPSec, проблема выбора.

Автор Призрак, 10 июня 2020, 10:54

« предыдущая тема - следующая тема »

0 Пользователей и 1 Гость просматривают эту тему.

Вниз

Уваров А.С.

А в OSPF ничего не меняется
И не должно меняться.

А дома у меня сеть 12.0
OVPN-клиент на роутере или на ПК?

то появляется обведённое на снимке экрана в таблице маршрутизации OpenVPN
А к 12 сети там зачем маршрут? Вы его что, сами себе передаете?

Вот я и хотел узнать, можно ли сделать так, чтобы OpenVPN работал через IPSec.
Зачем? Вам достаточно подключиться к любому узлу который имеет маршрутную информацию по внутренней сети. Единственное, что вам потребуется, это закинуть OVPN-сеть в OSPF, чтобы узлы знали кому отвечать на пакеты из 10.7.0.0.

Если у вас OVPN-клиент на роутере, то нужен роутер с поддержкой OSPF и добавлением в область сети за роутером.


Призрак

OVPN-клиент на роутере или на ПК?
Клиент OpenVPN у меня на ПК.

А к 12 сети там зачем маршрут? Вы его что, сами себе передаете?
Хорошо, я его уберу. Пожалуй, с рабочего компьютера к домашнему мне не нужно подключаться.

ачем? Вам достаточно подключиться к любому узлу который имеет маршрутную информацию по внутренней сети. Единственное, что вам потребуется, это закинуть OVPN-сеть в OSPF, чтобы узлы знали кому отвечать на пакеты из 10.7.0.0.
Вот у меня как раз и идёт подключение к шлюзу 10.3. То есть, мне нужно, как я понял, в OSPF указать интерфейс OpenVPN и сеть 10.9.0.0?

Призрак

#72
09 августа 2020, 21:00 Последнее редактирование: 09 августа 2020, 21:14 от Призрак
Только что попробовал. Никак не получается, увы. Как их подружить, эти две сети, я ума не приложу. Если я трассировку делаю до 10.3, то он сразу мне с одного прыжка достигает, из дома, с компьютера при подключённом OpenVPN. Если же я пытаюсь трассировку делать до 192.168.20.7, то он тупо ломится сначала на роутер, 192.168.12.1, а далее тишина. Ничего не понимаю, маршрут ведь я передал, вы увидели на скрине.

Вот ещё на другом скрине видно, что я по сути прописал уже эти маршруты.

Призрак

Убрал команду route и iroute из сервера, появилась трассировка при пробе адреса 192.168.20.7 первый прыжок 10.0.9.1, то есть где - то близко. Но и только.

Уваров А.С.

Вот у меня как раз и идёт подключение к шлюзу 10.3. То есть, мне нужно, как я понял, в OSPF указать интерфейс OpenVPN и сеть 10.9.0.0?
Вам не нужны "десятые" сети, это транспорт. А подключаетесь вы к обычным 192.168.х.х сетям, они же и должны фигурировать в маршрутах. Исключение - OpenVPN сеть, вам нужно добавить ее в OSPF, чтобы узлы знали куда отправлять пакеты для источника с адресом этой сети.

Через OpenVPN вам надо предать маршруты к удаленным сетям и указать шлюзом внутренний адрес OpenVPN-сервера.

Если же я пытаюсь трассировку делать до 192.168.20.7, то он тупо ломится сначала на роутер, 192.168.12.1, а далее тишина. Ничего не понимаю, маршрут ведь я передал, вы увидели на скрине.
Это означает, что нет активного маршрута к данной сети через туннель.


Призрак

Я понимаю, что вы хотите мне посоветовать, но, увы, сделать это не могу. Сейчас поясню, почему. Дело в том, что я могу добавить интерфейс OpenVPN в OSPF и даже прописать сеть. Но только на сервере OpenVPN, на 10.3. На соседнем шлюзе, 20.7, нету клиента, OpenVPN, соответственно, интерфейс там не поднят, я его не могу добавить там поэтому. Если бы там был клиент настроен, заработала бы маршрутизация, я знаю, связь бы появилась, это точно. Но зачем? Моя цель сделать так, чтобы пакеты из сети 10.9.0.0 шли через сеть 10.7.0.0 на шлюз 192.168.20.7.

Я добился того, чтобы трассировка из дома до 192.168.20.7 шла до 10.0.9.1, но и всё, дальше она не идёт.

Уваров А.С.

На соседнем шлюзе, 20.7, нету клиента, OpenVPN
Он там не нужен.


Моя цель сделать так, чтобы пакеты из сети 10.9.0.0 шли через сеть 10.7.0.0 на шлюз 192.168.20.7.
Забудьте про сети 10.9.0.0 и 10.7.0.0, они вам не нужны, это транспортные сети.

Ваша задача добавить в OSPF сеть 10.3.0.0, чтобы маршрутизаторы знали как отвечать OpenVPN-клиентам из этой сети.

Как вы заметили, добавить этот интерфейс и эту сеть вы сможете только на сервере OpenVPN, после чего OSPF распространит маршрут к сети 10.3.0.0 через OpenVPN-сервер, который должен быть узлом одной из сетей обслуживаемых OSPF. После этого пакет от OpenVPN-клиента к любой сети 192.168.х.х будет приходить на OpenVPN-сервер и уходить по маршрутам вашей сети. Обратный пакет будет доставляться этому же серверу, так как вы распространите информацию, что именно этот узел является шлюзом для сети 10.3.0.0. Нигде более устанавливать OpenVPN не нужно.



Призрак

#77
11 августа 2020, 21:38 Последнее редактирование: 11 августа 2020, 21:49 от Призрак
У меня получилось! Только не так, как вы советовали. Так как вы советовали я попробовал, но у меня не получилось. Уже совсем огорчившись, я решил попробовать несколько опций и вот оно! Во вложении красным квадратом я выделил опцию, которую надо указать обязательно, только на сервере OpenVPN, больше нигде. А также выложил как изменились после этого маршруты, на обоих хостах. Теперь они оба доступны, с моей домашней машины! Победа! Больше ничего и нигде указывать не надо, только включить эту опцию и всё поднимется.

При этом есть ещё один весьма приятный бонус. Вот во вложении ещё специфические настройки клиента. Там я указал сеть 20.0, если я её указываю, я могу туда попасть, другой человек не может, что мне и нужно! Если доступ человеку нужен только в административный корпус, 10.0, я так ему и укажу. Это тоже очень хорошо, касаемо безопасности. Если я не укажу ничего, кроме 10.0, то человек никуда не сможет попасть, кроме 10.0 сети.

Только вот небольшое беспокойство всё ещё есть. Я изменил сеть OpenVPN на 10.8.0.0. Теперь адрес соседнего хоста, того, который 20.7 10.8.0.2, а моей домашней машине присваивается адрес OpenVPN 10.8.0.6. Если я введу все 5 хостов, то у меня не будет конфликта, с моим домашним подключением?


Призрак

#78
28 октября 2020, 21:51 Последнее редактирование: 28 октября 2020, 22:02 от Призрак
Настроил я opnsense, перевёл шлюз на него. Прихожу утром на работу, всё лежит, шлюз не работает, беготня, видеонаблюдение вырубилось, телевизор в холле не показывает. Лёг хвалёный шлюз, который разработчики обновили, аж до 12 FreeBSD. За что им огромное спасибо. Отделиться то отделились, но не совсем хорошо свой продукт поддерживают. Запустил я его снова, посыпался IPSec тоннель. Но сейчас не о том.

Я вернул на место старый шлюз, всё заработало. Параллельно настроил pfsense. Поставил его теперь, как шлюз, уже много дней всё отлично работает, остальные корпуса пока подключаются по OpenVPN к нему. Информативная доска, всё видно, кто и к чему подключен, очень удобно всё контролировать. Прекратились жалобы на обрывы связи, почта ходит, терминалы карты принимают. Теперь только pfsense и больше ничего не хочу испытывать.

Сервера OpenVPN у меня там два. Один отвечает за соединение филиалов, второй за удалённый доступ, из дома. Всё очень удобно и здорово, всё работает. Я со своего рабочего места из дома могу подключиться к любому корпусу и к любому компьютеру, а также пользователи могут, которые подключены по удалённому доступу.

Настроил я тестовое соединение IPSec VTI с одного филиала на другой, там тоже установлен pfsense, но другим шлюзом, не основным, на нём сидит библиотечный каталог и облако (NAT). Не спешу подключаться по IPSec потому, что пока не дали указание менять все остальные шлюзы, там машины с Windows Server 2008 R2. Тоннель поднимается и работает, тут всё нормально.

Вместо frr только quagga ospf теперь. Настроил следующим образом - WAN и LAN загнал в пассивные, интерфейс IPSec в режим Point-to-Point, area 1.1.1.1, указал пароли, тут тоже всё заработало, связь появилась из сети 192.168.10.0 до адреса 192.168.20.7 второго pfsense, при этом я не указывал никаких адресов, вообще. Тут тоже нет вопросов.

А вопрос появился вот в чём. Я никак из дома не могу подключиться к 192.168.20.7. То есть тут поднялся вопрос опять, как мне подружить openvpn и pfsense. Сколько статей опять прочитал, к бестолку. Так как в opnsense уже не срабатывает.

Можно вообще увидеть, как строится такой маршрут? Без pfsense? В любой другой операционной системе, с таким пакетом? Только эта проблема и осталась пока.

Уваров А.С.

А вопрос появился вот в чём. Я никак из дома не могу подключиться к 192.168.20.7.
Значит у вас не настроена маршрутизация.

То есть тут поднялся вопрос опять, как мне подружить openvpn и pfsense.
Вариантов ровно два. Либо добавить OpenVPN сеть в OSPF, либо прописать серверу нужные маршруты руками.

Можно вообще увидеть, как строится такой маршрут?
Берете таблицу маршрутизации на клиенте, смотрите куда должен уйти пакет к нужной сети. Идете на этот узел, смотрите таблицу маршрутизации там и т.д. и т.п., пока не дойдете до целевого узла.


Призрак

#80
29 октября 2020, 21:58 Последнее редактирование: 29 октября 2020, 22:03 от Призрак
Да знаю я, что за маршрутизация. И как таблицу маршрутизации читать тоже. Тем более, есть прекрасная статья на ресурсе, по этому поводу. Я могу их вполне сделать руками, но зачем? Это ведь мартышкин труд, для десятка тоннелей писать маршруты вручную, каменный век. Хотелось бы применительно к этому пакету узнать, как маршрутизация настраивается.

Ну ладно, я всё же разобрался. Ответ во вложении, никакие галочки не надо ставить, просто нужно указать подсеть OpenVPN сервера, как указано на снимке экрана, всё заведётся. Указать на том шлюзе, где установлен OpenVPN сервер. И это хорошо, что я сделал два OpenVPN сервера один служит для временного подключения машин с Windows Server и будет убран, после того, как окончательно будет произведён переход на PFSense в остальных корпусах, другой как раз таки, который указан, служит для удалённого доступа из дома. Указал сеть удалённого доступа OpenVPN в OSPF и всё, трафик пошёл по IPSec, что и надо.

Но кто-то мне тут писал, что поможет разобраться с area, грамотно её расставить. Я пока по совету сделал 1.1.1.1. К тому же я ещё не до конца понял, что за пароли и для чего они служат. Явно не для красоты. Ответ я тут уже видел, но не понял.

Если я решу написать статью, по этому шлюзу, просто так, чтобы было и в любой момент можно было обратиться к ней на сайте, как я могу это сделать? Хотя бы по установке, настройке, в том числе OpenVPN, IPSec, OSPF?

Уваров А.С.

Просто пишите и присылаете, картинки отдельно. Я публикую за вашим авторством.

Вверх