Jak korzystać z push „route 10.0.0.0 255.255.255.0” na pfSense

0

Mój serwer OpenVPN ma lokalny adres IP 10.21.1.4 (znajduje się w podsieci 10.21.1.0/24) i korzysta z podsieci 10.21.4.0/24 dla tunelu. Jaką trasę należy wcisnąć, aby przyznać klientom VPN dostęp do sieci LAN (10.21.1.0/24)?

Powinien to być push "route 10.21.1.0 255.255.255.0"lub push "route 10.21.4.0 255.255.255.0"?

AKTUALIZACJA 1

Robi push "route 10.21.1.0 255.255.255.0"nadal nie pozwala moi klienci VPN w celu uzyskania dostępu do sieci LAN. Na chwilę dodałem następujące zasady dotyczące interfejsów WAN i LAN:

Protocol: IPv4*
Source: *
Port: *
Destination: *
Port: *
Gateway: * 
David
źródło

Odpowiedzi:

0

Nie musisz przesuwać trasy tunelu, zarówno klient, jak i serwer będą o tym wiedzieć (ustalą to w konfiguracji). Serwer będzie pchał rzeczy, które nie są częścią tunelu - to inne interfejsy.

Ponadto pfSense będzie wymagał jawnych reguł przekazywania dla interfejsów LAN i VPN dla ruchu VPN. Przydziel więc serwer VPN do interfejsu, to ułatwia, Na pfSense pozwala użyć opcji (przypisać) w menu interfejsów, aby przypisać go do OPT1. Następnie:

Zapora ogniowa-> Reguły-> OPT1 utwórz nową regułę (u góry jest w porządku).

Przekazanie akcji, interfejs OPT1, IPv4, dowolny protokół, źródłowa sieć OPT1, dowolne miejsce docelowe, opis „pozwól opt1 porozmawiać z kimkolwiek”, zapisz i zastosuj

Ta reguła mówi, że cały ruch przychodzący od klientów VPN może opuścić zaporę (do dowolnego miejsca docelowego)

Teraz musimy stworzyć regułę, która mówi, że klienci LAN mogą rozmawiać z klientami VPN:

Firewall-> Reguły-> LAN utwórz nową regułę (u góry jest w porządku).

Przekazanie akcji, Interfejs LAN, IPv4, dowolny protokół, źródłowa sieć LAN, miejsce docelowe OPT1, opis „pozwól LAN mówić do opt1”, zapisz i zastosuj

zwróć uwagę, że prawdopodobnie nie potrzebujemy tego, ponieważ LAN prawdopodobnie już może rozmawiać ze wszystkimi, ale staramy się to teraz ułatwić.

Wróćmy teraz do opcji OpenVPN:

Powiedzmy, że interfejs LAN serwera to 10.20.30.40/24

push "route 10.20.30.40 255.255.255.0"

Jeśli chcesz używać Samba / Microsoft, możesz chcieć włączyć netbios. Prawdopodobnie chcesz dodać wewnętrzny DNS.

Mam nadzieję że to pomoże.

quadruplebucky
źródło
Cześć @ quadruplebucky, dziękuję za odpowiedź. Problem polega na tym, że jeśli korzystam z klienta OpenVPN, dostaję adres IP z podsieci tunelu (w tym przypadku 10.21.4.2) na telefonie komórkowym lub kliencie Windows. Rozumiem, że powinienem mieć adres IP z sieci LAN (coś w 10.21.1.0/24)
David
1
Nie, to jeśli używasz urządzenia TAP (zmostkowanego). Używasz urządzenia TUN. Jest to faktycznie korzystne na wiele sposobów (domena rozgłoszeniowa ... itd.), Ale to już inna sprawa)
quadruplebucky
Przepraszam nie rozumiem Biorąc pod uwagę, że używam urządzenia TUN, mówisz, że nie muszę przepychać żadnej trasy?
David
Przekazanie podsieci LAN serwera nie zaszkodzi, jeśli chcesz przyznać klientom dostęp do tego - typowa konfiguracja małego biura. Ale tak naprawdę nie wiem, co próbujesz zrobić, zgaduję. Aby to wyjaśnić, powiedz, że chcę uzyskać dostęp do mojego komputera stacjonarnego z domu, z laptopa i nic o niczym nie wiem, możesz skonfigurować mnie z klientem openvpn i zdalnym pulpitem i prawdopodobnie mógłbym pracować z dom bez większych problemów.
quadruplebucky
Właśnie to chcę zrobić. W sieci LAN jest wiele usług, takich jak HTTP, SMTP itp., I chcę, aby klienci VPN, którzy są w Internecie, mieli do nich dostęp, tak jakby byli w sieci LAN :)
David