Wie benutzt man "route 10.0.0.0 255.255.255.0" auf pfSense

0

Mein OpenVPN-Server hat eine lokale IP-Adresse 10.21.1.4 (im Subnetz 10.21.1.0/24) und verwendet das Subnetz 10.21.4.0/24 für den Tunnel. Welche Route sollte ich wählen, um VPN-Clients Zugriff auf das LAN (10.21.1.0/24) zu gewähren?

Sollte es sein push "route 10.21.1.0 255.255.255.0"oder push "route 10.21.4.0 255.255.255.0"?

UPDATE 1

Anderenfalls push "route 10.21.1.0 255.255.255.0"können meine VPN-Clients immer noch nicht auf das LAN zugreifen. Momentan habe ich die folgenden Regeln für die WAN- und LAN-Schnittstellen hinzugefügt:

Protocol: IPv4*
Source: *
Port: *
Destination: *
Port: *
Gateway: * 
David
quelle

Antworten:

0

Sie müssen die Tunnelroute nicht pushen, der Client und der Server wissen beide davon (sie finden das im Setup heraus). Der Server pusht Dinge, die nicht Teil des Tunnels sind - es sind andere Schnittstellen.

Außerdem benötigt pfSense explizite Weitergaberegeln für die LAN- und VPN-Schnittstellen für den VPN-Verkehr. Wenn Sie Ihren VPN-Server einer Schnittstelle zuweisen, wird dies einfacher. Unter pfSense können Sie die Option (zuweisen) im Menü "Schnittstellen" verwenden, um sie OPT1 zuzuweisen. Dann:

Firewall-> Regeln-> OPT1 erstellt eine neue Regel (oben ist alles in Ordnung).

Aktionspass, Schnittstelle OPT1, IPv4, Protokoll beliebig, Quelle OPT1-Netz, Ziel beliebig, Beschreibung "opt1 mit niemandem sprechen lassen", speichern und anwenden

Diese Regel besagt, dass der gesamte von VPN-Clients eingehende Datenverkehr die Firewall verlassen darf (an ein beliebiges Ziel).

Jetzt müssen wir eine Regel erstellen, die besagt, dass LAN-Clients mit VPN-Clients kommunizieren dürfen:

Firewall-> Regeln-> LAN erstelle eine neue Regel (oben ist alles in Ordnung).

Aktionspass, Schnittstellen-LAN, IPv4, Protokoll beliebig, Quell-LAN-Netz, Ziel-OPT1, Beschreibung "LAN mit opt1 sprechen lassen", speichern und anwenden

Beachten Sie, dass wir das wahrscheinlich nicht brauchen, da die LAN sehr wahrscheinlich bereits mit allen sprechen darf, aber wir versuchen, dies jetzt einfach zu machen.

Zurück zu den OpenVPN-Optionen:

Angenommen, die LAN-Schnittstelle des Servers ist 10.20.30.40/24

push "route 10.20.30.40 255.255.255.0"

Möglicherweise möchten Sie NetBIOS aktivieren, wenn Sie Samba / Microsoft verwenden. Möglicherweise möchten Sie einen internen DNS hinzufügen.

Hoffe das hilft.

vierfach glücklich
quelle
Hallo @quadruplebucky, danke für deine Antwort. Das Problem hierbei ist, dass ich, wenn ich einen OpenVPN-Client verwende, eine IP aus dem Tunnelsubnetz (in diesem Fall 10.21.4.2) erhalte, entweder auf einem Mobiltelefon oder einem Windows-Client. Ich verstehe, ich sollte eine IP aus dem LAN-Netzwerk haben (etwas in 10.21.1.0/24)
David
1
Nein, das ist, wenn Sie ein TAP-Gerät verwenden (überbrückt). Sie verwenden ein TUN-Gerät. Es ist sogar in vielerlei Hinsicht vorteilhaft (Broadcast - Domain ... etc) , aber das ist eine andere Sache)
quadruplebucky
Es tut mir leid, ich verstehe nicht. Unter der Voraussetzung, dass ich ein TUN-Gerät verwende, sagen Sie, dass ich keine Route verschieben muss?
David
Es schadet nichts, das LAN-Subnetz des Servers zu pushen, wenn Sie Clients Zugriff darauf gewähren möchten - eine übliche kleine Office-Konfiguration. Aber ich weiß nicht wirklich, was Sie versuchen, nur zu raten. Um es klarer zu machen, sagen wir, ich möchte von zu Hause aus, von meinem Laptop aus, auf meinen Desktop zugreifen, und ich weiß nichts über irgendetwas. Sie könnten mich mit einem OpenVPN-Client und einem Remote-Desktop einrichten und wahrscheinlich von dort aus arbeiten Zuhause ohne viel Ärger.
Quadruplebucky
Genau das möchte ich tun. Im LAN gibt es viele Dienste wie HTTP, SMTP usw., und ich möchte, dass VPN-Clients, die sich im Internet befinden, Zugriff darauf haben, als wären sie im LAN :)
David