Прежде всего, я не сильно разбираюсь в сетях, но у нас в офисе нет специалистов по сетевым технологиям, поэтому мне поручили эту настройку и запуск. Вот топология сети:
Интернет -> Маршрутизатор Cisco -> Внутренняя сеть (192.168.1.0/24)
В этой внутренней сети находится ящик, на котором работает pfSense и есть два сетевых адаптера (LAN и WAN), и его единственная цель в жизни - быть ящиком OpenVPN; через него не проходит никакой другой трафик. Теперь я правильно настроил ACL в маршрутизаторе Cisco и могу без проблем подключиться к блоку pfSense с клиентом OpenVPN, но это все, что касается клиента. Клиент не видит ни одного ящика во внутренней сети.
Наша внутренняя сеть, как указано, представляет собой сеть 192.168.1.0/24, а пул адресов, который я использую для VPN, - 10.10.11.0/24 (хотя по какой-то причине VPN-сервер устанавливает маску на 255.255.255.252. ) Я настраиваю NAT 1: 1, чтобы запросы от 10.10.11.0/24 шли на 192.168.1.0/24, но все еще не работает. Мне кажется, что мне нужно сделать дополнительные вещи для Cisco, чтобы эта работа работала, но я не уверен, что это такое.
Есть у кого мысли?
OpenVPN делает некоторые странные вещи с маршрутизацией (по сравнению с другими решениями VPN) - соединение, которое получают клиенты, находится в сети / 30 для каждого отдельного клиента для облегчения совместимости с Windows, поэтому вы видите сетевую маску 252. вы можете изменить это поведение, если все ваши клиенты используют Linux.
знает ли этот маршрутизатор cisco об этих маршрутах, и какой маршрут по умолчанию используется для всех ящиков во внутренней сети? У меня была аналогичная проблема, когда наш основной маршрутизатор получал весь трафик, а затем отбрасывал его, потому что а) это были немаршрутизируемые адреса и б) он не знал, какой правильный маршрут.
я подозреваю, что вам нужно создать статический маршрут для всей этой подсети 10.10.11.0/24 на вашем маршрутизаторе cisco со шлюзом в качестве адреса 192.168.1.X сервера openvpn.
убедитесь, что в поле openvpn включена пересылка пакетов (т.е. маршрутизация), и все будет хорошо.
TL; DR: для маршрутизации требуется определение в обоих направлениях (статическое или динамическое), и похоже, что вам нужно добавить маршрут в свой ящик cisco, сообщающий ему, где найти 10.10.11.0/24
Вероятно, у вас уже есть маршрут к сети 192.168.1.0/24 в качестве «локальной сети» в конфигурации графического интерфейса OpenVPN. Вероятно, вам не хватает маршрута на Cisco, чтобы указать туннельную сеть OpenVPN обратно на IP-адрес LAN на pfSense.
Можно найти объяснение того, как работают соединения OpenVPN. Вот. Из-за того, что ваш сервер OpenVPN раздает адреса в подсети 10.10.11.0/24, а ваша внутренняя LAN находится на 192.168.1.0/24, нет маршрутизации по умолчанию, которая позволит подключенным клиентам "видеть" IP-адреса на другая сторона туннеля.
Чтобы это сработало, вам нужно «протолкнуть» маршруты клиенту. В вашем конкретном случае это означает, что конфигурация вашего сервера должна включать такую инструкцию:
push route 192.168.1.0/24
Теперь, сказав следующее: это будет работать, только если ваши клиенты НЕ находятся в одной подсети. Если они находятся в одной подсети, то они фактически потеряют всю эту подсеть, поскольку теперь (с новым маршрутом) весь трафик на любые адреса в этой подсети проходит через туннель. Именно по этой причине (и из-за того факта, что большинство людей выбирают 192.168.1.0/24 в качестве частной LAN) я лично прекратил использовать эту конкретную подсеть. Я бы порекомендовал вам рассмотреть возможность изменения локальной сети вашего офиса на 192.168.x.0 / 24, где x - любое число от 2 до 253.
Вам также следует подумать, хотите ли вы, чтобы VPN-клиенты перенаправляли весь свой трафик на общедоступные IP-адреса через VPN или только трафик для офисной LAN. Прочтите документацию OpenVPN, чтобы узнать больше об этом.
Более простой настройкой было бы просто включить туннелирование уровня 2. Нет необходимости в дальнейшей настройке, ваши клиенты будут находиться в одной и той же физической сети и будут получать свой IP-адрес от DHCP-сервера в офисе. Вы найдете его в веб-интерфейсе open-vpn: «Конфигурация -> Режим VPN»
Надеюсь это поможет.