kucher4 Posted January 24, 2020 Posted January 24, 2020 (edited) Здравствуйте. Исходные данные: Локалка 192.168.1.0, в которой шлюзом стоит Микротик, 192.168.1.1. В локалке находится сервер pfsense последней версии, с одной сетевой картой, с адресом 192.168.1.4. На pfsense настроен OVPN, в режиме tun, с сетью 10.0.1.0. На Микротике, шлюзе локалки, прописан маршрут 192.168.1.4 > 10.0.1.0. Ну, и выполнен проброс порта из вне на 192.168.1.4, т.е. на pfsense. Следовательно - из локалки пингуется 192.168.1.4 и поднятый на нём сервер OVPN 10.0.1.1 - ВСЕГДА. С самого сервера OVPN, из интерфейса pfsense, пингуется всё. После того как клиент из вне коннектится к серверу OVPN - он получает адрес 10.0.1.5 и видит все ПК в локалке, но его не видит никто из локалки. tracert на 10.0.1.5 из локалки проходит шлюз сети 192.168.1.1, переходит на 192.168.1.4... и дальше ответа нет. Захват пакетов показывает, что пинги на интерфейсы pfsense к 10.0.1.5 приходят, но на них нет ответа. В общем, прошу помощи, бубен порвал. :( С Микротиком подобная схема у меня работает без всяких "танцев". Edited January 25, 2020 by kucher4 Вставить ник Quote
kucher4 Posted February 3, 2020 Author Posted February 3, 2020 (edited) Сам себе отвечаю: включил обратный NAT на pfsense и заработало. Понимание и информацию к действию почерпнул здесь: https://forum.netgate.com/category/10/russian Обратный NAT включается в Firewall\NAT\Outbound, переключив его предварительно в состояние "Manual Outbound NAT rule generation. (AON - Advanced Outbound NAT)". Но перед этим нужно пройти в InterfacesInterface/Assignments и добавить созданный сервер OVPN в качестве интерфейса, не забыв затем включить его и обозвать, например, OVPNIF. Затем в Firewall\NAT\Outbound создать правило, выбрав в качестве интерфейса OVPNIF. Protocol - any Source - any (в моём случае, т.к. pfsense не является шлюзом, он внутри сети; для себя можете указать здесь свою сеть) Destination - сеть OVPN, в моём случае это 10.0.1.5/24 Остальное не меняем, жмём Save. Не забываем ребутнуть pfsense или службу OVPN, для верности. Ещё момент: в VPN/OpenVPN/Servers - в вашем OVPN сервере в графе интерфейса должен стоять именно интерфейс OVPNIF, который Вы создали. Если при попытке выбрать его система будет ругаться что интерфейс не имеет IP-адреса и не может быть выбран в этой графе - запомните какой там интерфейс был назначен, присвойте значение «any», примите изменения, затем снова вернитесь в режим редактирования и укажите нужный интерфейс. После этого сервер (служба) OVPN скорее всего остановится, потому запустите его. Пока Вы этого не сделаете - не заработает. В крайнем случае ребутните pfsense опосля. Я долго голову ломал из-за этого, не мог понять какого чёрта... Спасибо всем кто переживал за меня всё это время. :) Edited October 14, 2020 by kucher4 Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.