Суть такова.
Есть по одному OPSsense в двух филиалах:
- имеет статический внешний адрес, является сервером OpenVPN, за ним сеть 10.10.5.0/24, адрес в туннеле 10.0.8.1,
- подключается к интернету по PPPoE, является клиентом, за ним сеть 192.168.5.0/24, адрес в туннеле 10.0.8.2.
Тип соединения в настройках OpenVPN на обоих - site-to-site, сеть выделена 10.0.8.0/24, через туннель настроен OSPF, маршрутами они обмениваются (средствами OpenVPN статические роуты не пушу, т. к. в планах динамическая маршрутизация между филиалами).
Пинги из конца в конец туннеля ходят с обеих сторон, со стороны клиента пингуется прилетевшая в OSPF сеть за сервером, а вот со стороны сервера сеть за клиентом не пингуется. Фаерволом на обоих шлюзах разрешён весь трафик в туннеле и весь трафик в анонсированных сетях.
Вот таблицы маршрутизации:
шлюз 1default *WAN_GW* UGS vtnet0
8.8.4.4 *WAN_GW* UGHS vtnet0
8.8.8.8 *WAN_GW* UGHS vtnet0
10.0.8.0/24 10.0.8.2 UGS ovpns1
10.0.8.1 link#7 UHS lo0
10.0.8.2 link#7 UH ovpns1
10.10.5.0/24 link#2 U vtnet1
10.10.5.1 link#2 UHS lo0
*WAN_NET* link#1 U vtnet0
*WAN_IP* link#1 UHS lo0
127.0.0.1 link#4 UH lo0
192.168.2.0/24 10.10.5.254 UGS vtnet1
192.168.2.1 10.10.5.254 UGHS vtnet1
192.168.2.2 10.10.5.254 UGHS vtnet1
192.168.5.0/24 10.0.8.2 UG1 ovpns1
208.67.220.220 *WAN_GW* UGHS vtnet0
208.67.220.222 *WAN_GW* UGHS vtnet0
шлюз 2default *WAN_GW* UGS pppoe0
10.0.8.0/24 10.0.8.1 UGS ovpnc1
10.0.8.1 link#7 UH ovpnc1
10.0.8.2 link#7 UHS lo0
10.10.5.0/24 10.0.8.1 UG1 ovpnc1
*WAN_GW* link#8 UH pppoe0
*WAN_IP* link#8 UHS lo0
127.0.0.1 link#4 UH lo0
192.168.5.0/24 link#2 U alc0
192.168.5.1 link#2 UHS lo0
208.67.220.220 *WAN_GW* UGHS pppoe0
208.67.222.222 *WAN_GW* UGHS pppoe0
Конфигурации OpenVPN:
шлюз 1dev ovpns1
verb 3
dev-type tun
tun-ipv6
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-256-CBC
auth SHA1
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local *WAN_IP*
tls-server
server 10.0.8.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc/1
ifconfig 10.0.8.1 10.0.8.2
tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'vpn.rosta.su' 1"
lport 1194
management /var/etc/openvpn/server1.sock unix
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /usr/local/etc/dh-parameters.2048
crl-verify /var/etc/openvpn/server1.crl-verify
tls-auth /var/etc/openvpn/server1.tls-auth 0
topology subnet
шлюз 2dev ovpnc1
verb 3
dev-type tun
tun-ipv6
dev-node /dev/tun1
writepid /var/run/openvpn_client1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-256-CBC
auth SHA1
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local *WAN_IP*
tls-client
client
lport 0
management /var/etc/openvpn/client1.sock unix
remote *ШЛЮЗ_1* 1194
ca /var/etc/openvpn/client1.ca
cert /var/etc/openvpn/client1.cert
key /var/etc/openvpn/client1.key
tls-auth /var/etc/openvpn/client1.tls-auth 1
Со шлюза 1 tcpdump'ом вижу, что пинг до 192.168.5.1 отправляется с интерфейса 10.0.8.1, т. е. как и задумано. На другом конце этих пакетов не вижу.
Кому не лень читать эту портянку, ткните в ошибку, пожалуйста.
Спасибо.
UPD. При сканировании nmap 192.168.5.1 -Pn говорит, что host up, но на нём закрыты все 1000 портов. Как это возможно при текущей настройке фаервола (весь трафик в LAN и туннеле разрешён) - непонятно.
UPD2. Со стороны 192.168.5.1 pfctl -si выдаёт 0 заблокированных пакетов и 0 принятых.
Сложный
Средний
