Я надеюсь, что кто-то может помочь мне с этой проблемой, так как это меня просто ошеломляет. Проблема базового уровня заключается в том, что клиенты на обеих сторонах туннеля OpenVPN не могут общаться друг с другом. Цель состоит в том, чтобы они могли / должны иметь возможность это сделать.
Моя установка:
AWS pfSense:
WAN = 10.0.5.145 (с прикрепленным публичным IP)
Конфигурация сервера:
dev ovpns1
verb 1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp4
cipher AES-128-CBC
auth SHA256
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 10.0.5.145
ifconfig 172.26.44.1 172.26.44.2
lport 1194
management /var/etc/openvpn/server1.sock unix
max-clients 20
route 10.50.2.0 255.255.255.0
secret /var/etc/openvpn/server1.secret
Netgate SG-1100:
WAN: 10.50.1.101/24 (он должен иметь двойное NAT из-за доступного оборудования)
LAN: 10.50.2.1/24
Конфигурация клиента:
dev ovpnc2
verb 1
dev-type tun
dev-node /dev/tun2
writepid /var/run/openvpn_client2.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp4
cipher AES-128-CBC
auth SHA256
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 10.50.1.101
lport 0
management /var/etc/openvpn/client2.sock unix
remote REDACTED 1194
ifconfig 172.26.44.2 172.26.44.1
route 10.0.4.0 255.255.252.0
secret /var/etc/openvpn/client2.secret
resolv-retry infinite
я я возможность установить туннель, и с ноутбука на стороне клиента (10.50.2.100), Я могу пропинговать клиентский IP-адрес LAN (10.50.2.1), а также "локальный" IP-адрес сервера (10.0.5.145). У клиентского ноутбука GW от SG-1100, и когда я использую route print это показывает 0.0.0.0/0 указывает на 10.50.2.1, но ничего конкретного для диапазонов IP-адресов AWS (10.0.4.0/22). я не может подключаться к чему-либо в диапазонах AWS, даже к экземплярам, которые явно настроены на «разрешить все порты из всех источников» в их SG.
Из SG-1100 WebGUI я жестяная банка ping / trace / telnet на любой экземпляр / порт AWS, если я при этом выбираю интерфейс OpenVPN. Интерфейсы LAN и WAN выходят из строя.
Из любого экземпляра в AWS я не возможность подключения к интерфейсу LAN SG-1100 или к клиентскому ноутбуку вообще, но я возможность ping / trace / telnet из WebGUI, если я при этом выбираю интерфейс OpenVPN.
Правила брандмауэра как в виртуальной машине AWS, так и в SG-1100 являются «разрешенными для всех» по всем направлениям (в правилах «OpenVPN»), а маршруты в обоих местах показывают, что противоположная сеть проходит через диапазон туннельных IP-адресов (172.26.44.0/24).
Я здесь несколько в растерянности и надеюсь, что кто-то может помочь / направить меня в правильном направлении. Если я остановился на каких-либо важных деталях, пожалуйста, дайте мне знать.
Большое спасибо за любую помощь!