Маршрутизация между 2 серверами openvpn на pfsense 2.4.4

Маршрутизация между 2 серверами openvpn на pfsense 2.4.4

У меня проблема с openvpn с моим pfsense и несколькими openvpn серверами. Ситуация следующая:

  • У нас есть два офиса: один главный и один филиал.
  • Существует туннель OpenVPN между сайтами, который соединяет главный офис и филиал.
  • У нас есть несколько регулярно работающих служб между главным офисом и филиалом, и нам нужно, чтобы они работали бесперебойно.
  • У нас есть несколько сотрудников, которые подключаются к pfsense в главном офисе через их собственный сервер OpenVPN.
  • Способ подключения удаленных офисов к Интернету не позволяет установить там сервер, поэтому сервером всегда является главный офис.

Основная причина для двух серверов openvpn заключается в том, что я хочу иметь возможность отключать сеть для разъездных рабочих, когда они делают что-то вне политики компании (что случается время от времени) без каких-либо помех между офисами. И есть также редкие случаи, когда нам приходится отключать связь между офисами, но мы хотим, чтобы разъездные рабочие все еще могли быть подключены.

До недавнего времени эта схема работала довольно хорошо, но в последнее время (до и сейчас, в связи с распространением коронавируса) у сотрудников, работающих в дороге, не было причин напрямую подключаться к машинам в филиале.

Теперь есть необходимость, и я не могу заставить pfsense маршрутизировать между двумя серверами openvpn. Дорожные воины достают свои вилы и зажигают факелы.

Настройка конфигурации на pfsnese следующая

Главный офис:

  • Сеть: 192.168.3.0/24
  • Шлюз: 192.168.3.1
  • OpenVPN-сервер: 192.168.3.1

  • OpenVPN Site-2-Site to Branch:

    • Режим сервера: одноранговый (общий ключ)
    • UDP на IPV4 / tun
    • Сеть туннелей: 10.11.12.0/24
    • IP-адрес туннельной сети: 10.11.12.1
    • Удаленная сеть: 192.168.77.0/24
  • Дозвон до главного устройства Road Warrior:

    • Режим сервера: удаленный доступ (SSL/TLS + аутентификация пользователя)
    • UDP на IPV4 / tun
    • Сеть туннелей: 10.0.42.0/24
    • IP-адрес туннельной сети: 10.0.42.1
    • Локальная сеть: 192.168.3.0/24

Филиал:

  • Сеть: 192.168.77.0/24
  • Шлюз: 192.168.77.1
  • OpenVPN-сервер: 192.168.77.1

  • OpenVPN Site-2-Site to Branch:

    • Режим сервера: одноранговый (общий ключ)
    • UDP на IPV4 / tun
    • Сеть туннелей: 10.11.12.0/24
    • IP-адрес туннельной сети: 10.11.12.2
    • Удаленная сеть: 192.168.3.0/24

Я перепробовал все, что смог найти, в том числе:

  • Добавление IP-адреса филиала и туннельной сети филиала к сети дневного доступа и наоборот
  • Отправка маршрутов и шлюзов с помощью команды OpenVPN «push route»
  • Попытка установить маршрут между сетями туннелей с помощью команды OPENVPN "route", но pfsense отклонил все из них

Я всегда могу пропинговать туннели к конечной точке из главного офиса, но никогда из филиала или через коммутируемое соединение.

Сейчас я смотрю на всю эту конструкцию и задаюсь вопросом, что я делаю не так.

Связанный контент