В настоящее время я создаю s2s VPN, используя 2 устройства pfsense (2.0.2). туннель строится, но я не могу перенаправить трафик с одной стороны на другую, проверьте мою тестовую лабораторию:

Хорошо, я создаю новую тестовую лабораторию, чтобы сузить ошибку. Вот что я делаю:

• чтобы убедиться, что это не проблема версии, я перешел на pfsense 2.0.1
• Сеть A: 192.168.3.0/24
• Сеть B: 192.168.2.0/24
• «Интернет-симулятор сети»: 10.10.10.0/24

Сайт A PFSense:

• em0: WAN, 10.10.10.10
• em1: LAN, 192.168.3.10

Клиентский сайт A:

• if0: LAN, 192.168.3.100, gw: 192.168.3.10
• Брандмауэр отключен, pinging gw работает.

Сайт B PFSense:

• em0: WAN, 10.10.10.20
• em1: LAN, 192.168.2.20

Клиентский сайт B:

• if0: LAN, 192.168.2.100, gw: 192.168.2.20
• Брандмауэр отключен, pinging gw работает.

Конфигурация сайта B PFSense:

• ВСЕ правила брандмауэра на КАЖДОМ ОДНОМ интерфейсе разрешают любые
• ни GW, ни маршруты не добавлены, поэтому pfsense известны только интерфейсные сети по умолчанию
• тестовый ЦС, созданный с использованием графического интерфейса pfsense
• сертификат сервера (тип: сервер), созданный с использованием графического интерфейса pfsense и созданного CA
• сертификат клиента (тип: пользователь), созданный с использованием графического интерфейса pfsense
• экспортированный закрытый и открытый ключ клиентского сертификата
• экспортированный открытый ключ сертификата CA
• создал новый открытый VPN-сервер, НЕ используя мастер, а нажав кнопку «добавить» (так как я хочу, чтобы одноранговый узел OVPN, который предлагает мастер)
• настроил его следующим образом: # Server Mode: Peer to Peer (SSL / TLS) #Protocol TCP # Device Mode: TUN #Interface: WAN # Port 443 # Disabled TLS Auth для тестирования # Использование созданного CA и созданного сертификата сервера. # криптография по умолчанию # туннельная сеть: 172.16.0.0/24

  Локальная сеть: 192.168.2.0/24 # Удаленная сеть: 192.168.3.0/24 # Количество одновременных подключений: 2 #rest default / blank

• добавлен новый интерфейс OPT1 (ovpnc1)
• включен интерфейс OTP1 (тип: нет)
• да: правила FW на интерфейсах OVPN также разрешают ЛЮБОЙ К ЛЮБОМУ
• отключил и снова включил сервер openvpn
• проверенные маршруты: маршруты к удаленной сети присутствуют с использованием сетевой карты ovpnc1

Конфигурация сайта A PFSense:

• ВСЕ правила брандмауэра на КАЖДОМ ОДНОМ интерфейсе разрешают любые
• ни GW, ни маршруты не добавлены, поэтому pfsense известны только интерфейсные сети по умолчанию
• импортировал CA с сайта B, используя его открытый ключ
• импортировал сертификат клиента с сайта B, используя его открытый и закрытый ключ
• создал новый клиент Open VPN, щелкнув значок «добавить» в разделе «Открыть клиент VPN»
• настроил его так:

• Режим сервера: Одноранговый (SSL / TLS) # Протокол TCP # Режим устройства: TUN # Интерфейс: WAN # Порт 443 # Хост или адрес сервера: 10.10.10.20

  Порт сервера: 443 # Отключена проверка подлинности TLS для тестирования # Использование импортированного ЦС и импортированного сертификата клиента. # криптография по умолчанию # туннель

  Сеть: 172.16.0.0/24 # Удаленная сеть: 192.168.2.0/24 #rest default / blank
• добавлен новый интерфейс OPT1 (ovpnc1)
• включен интерфейс OTP1 (тип: нет)
• да: правила FW на интерфейсах OVPN также разрешают ЛЮБОЙ К ЛЮБОМУ
• отключил и снова включил сервер openvpn
• проверенные маршруты: маршруты к удаленной сети присутствуют с использованием сетевой карты ovpnc1

-> Подходит VPN-туннель, и я вижу состояние на обоих концах pfsense. НИЧЕГО ЕЩЕ не было настроено в pfsense

Тестирование:

Клиент на сайте A не может проверить связь с клиентом на сайте B, и наоборот. pathping показывает, что маршрут заканчивается в gw клиента (порт LAN PFSense).

PFSense на сайте A не может проверить связь с клиентом на сайте B с помощью интерфейса LAN и WAN, но успешно с помощью интерфейса OTP1. Однако клиент на сайте B не может проверить связь с PFSense на сайте A.

Однако это неверно для пинга от PFSense на сайте B к клиенту на сайте A: ping не работает ни с одним интерфейсом. И снова: проверка связи PFSense на сайте B с клиента на сайте A не выполняется.

Также PFSense на сайте B не может пинговать клиента на сайте A и наоборот. Протестировано с использованием интерфейсов WAN, LAN и OTP1 для отправки эхо-запросов.

Странно: PFsense на сайте A может пинговать PFSense на сайте B, но не наоборот!

Результат:

Только прямой клиент, которым является pfsense на сайте A, кажется, может разговаривать с ВСЕМ в удаленной сети (pfsense или любым клиентом). клиенты, которые пытаются выполнить маршрутизацию через pfsense, не могут связаться, даже если они находятся в той же подсети, что и pfsense, поэтому сеть должна быть известна удаленному сайту. также НАЧАЛО коммуникации на сервере (B) кажется, что ничего не достигает на клиентском сайте (A).

Это вызывает два вопроса: - Как мне сообщить PFsense / OpenVPN, чтобы он также передавал трафик VPN от любого клиента, который маршрутизируется через pfsense (из той же подсети) (я предполагаю, что NAT будет работать, но на самом деле нет другого пути?) - Как разрешить генерируемый трафик на моем сервере (B), чтобы перейти через VPN на клиентский сайт?

Редактировать № 2

Я добавил это в расширенную конфигурацию на стороне сервера без каких-либо других эффектов, кроме описанных выше в тестах:

route 192.168.2.0 255.255.255.0;push "route 192.168.3.0 255.255.255.0";

Кроме того, используя pfsense 2.0.1, я понял, что, когда соединение vpn установлено, у меня теперь есть шлюз с IP-адресом интерфейса ovpn, добавленным к моим шлюзам, что позволило мне добавить статический маршрут к удаленной сети с помощью этого интерфейса. Я сделал это как на сайте A, так и на сайте B (или на клиенте и сервере, если хотите).

Редактировать № 3

вот экраны, показывающие маршруты: Маршруты сайта B (сервер):

Сайт А (клиент):