我的 pfsense 和多個 openvpn 伺服器出現 openvpn 問題。情況如下:
- 我們有兩個站點,一個主站點和一個分支機構
- 有一個 openvpn 站點到站點隧道連接總公司和分支機構
- 我們在總公司和分支機構之間定期運行多項服務,我們需要它們不受干擾
- 我們有幾個公路戰士在總部的 openvpn 伺服器上撥入 pfsense
- 遠端辦公室連接到互聯網的方式不允許在那裡設置伺服器,因此伺服器始終是主辦公室。
使用兩台 openvpn 伺服器的主要原因是,當公路戰士做一些超出公司政策的事情時(這種情況時常發生),我希望能夠切斷網絡,而辦公室之間不會有任何干擾。在極少數情況下,我們也必須斷開辦公室之間的鏈接,但希望公路戰士仍然能夠保持連接。
直到不久前,這種設定還運作得很好,但最近(在冠狀病毒肆虐的情況下),公路戰士沒有理由直接連接到分支機構的機器。
現在有需要,但我無法讓 pfsense 在兩個 openvpn 伺服器之間路由。公路戰士們正在拔出乾草叉並點燃火把。
pfsnese 上的設定配置如下
主要辦公室:
- 網路:192.168.3.0/24
- 網關:192.168.3.1
OpenVPN伺服器:192.168.3.1
Site-2-Site 到分公司 OpenVPN:
- 伺服器模式:點對點(共享金鑰)
- IPV4/tun 上的 UDP
- 隧道網路:10.11.12.0/24
- 隧道網路IP:10.11.12.1
- 遠端網路:192.168.77.0/24
Road Warrior 撥入主線:
- 伺服器模式:遠端存取(SSL/TLS + 使用者身份驗證)
- IPV4/tun 上的 UDP
- 隧道網路:10.0.42.0/24
- 隧道網路IP:10.0.42.1
- 本地網路:192.168.3.0/24
分公司:
- 網路:192.168.77.0/24
- 網關:192.168.77.1
OpenVPN伺服器:192.168.77.1
Site-2-Site 到分公司 OpenVPN:
- 伺服器模式:點對點(共享金鑰)
- IPV4/tun 上的 UDP
- 隧道網路:10.11.12.0/24
- 隧道網路IP:10.11.12.2
- 遠端網路:192.168.3.0/24
我基本上嘗試了我能找到的一切,其中包括:
- 將分支 IP 和分支隧道網路新增至撥入網絡,反之亦然
- 透過 OpenVPN「push Route」指令推送路由和網關
- 嘗試透過 OPENVPN 的「route」指令在隧道網路之間設定路由,但 pfsense 拒絕了所有這些
我始終可以從主辦公室的網路中 ping 到端點的隧道,但無法從分公司或撥入連線執行 ping 操作。
現在我正在查看整個設定並想知道我做錯了什麼。