OpenVPN Client в режиме [Site to site/peer to peer]

[mic.bummer]

Здравствуйте, есть загвоздка в настройке OpenVPN клиента Keenetic Giga III с PFsense в режиме  [Site to site/peer to peer SSL/TLC]

Клиент:

OpenVPN client в режиме Remote Access подключается:  

dev tun
persist-tun
persist-key
cipher AES-256-CBC
auth SHA1
tls-client
client
resolv-retry infinite
remote domain.com 1196 udp
verify-x509-name "CA-OpenVPN" name
auth-user-pass
remote-cert-tls server

<ca>
-----BEGIN CERTIFICATE-----
>>>>
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
>>>>
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
>>>>
-----END PRIVATE KEY-----
</key>
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
>>>>
-----END OpenVPN Static key V1-----
</tls-auth>
key-direction 1

В режиме [Site to site/peer to peer SSL/TLC] ошибки:

dev tun
persist-tun
persist-key
cipher AES-256-CBC
auth SHA1
tls-client
client
resolv-retry infinite
remote domain.com 1196 udp
verify-x509-name "CA-OpenVPN" name
remote-cert-tls server

<ca>
-----BEGIN CERTIFICATE-----
>>>>
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
>>>>
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
>>>>
-----END PRIVATE KEY-----
</key>
<tls-auth>
#
# 2048 bit OpenVPN static key
#
>>>>
-----END OpenVPN Static key V1-----
</tls-auth>

NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
TLS Error: TLS handshake failed

Подскажите пожалуйста, как добиться работы OpenVPN в режиме [Site to site/peer to peer]?

Чтобы у локальной сети [OpenVPN Server] был доступ в локальную сеть [OpenVPN Client] и наоборот

Спасибо!?

Edited November 2, 2018 by mic.bummer

[Роман Хитров]

День добрый. Такая же ошибка в режиме [Site to site/peer to peer SSL/TLC]

Добились какого нибудь результата?

[mic.bummer]

В 08.05.2019 в 14:35, Роман Хитров сказал:

День добрый. Такая же ошибка в режиме [Site to site/peer to peer SSL/TLC]

Добились какого нибудь результата?

+ параметр сервера

client-to-client

[ivultux]

Приветствую!

Не стал новую тему создавать. Моему вопросу эта ветка ближе всех.

У меня сейчас pfSense 2.8.1. На Keenetic-ах прошивка 4.3.6.3.

Нужно подключить несколько удалённых офисов. Пытаюсь настроить подключение сети одного из них.
На pfSense поднят OpenVPN. Сеть тунеля 172.16.0.0/24. Удалённая сеть - 192.168.200.0/24.
На pfSense в "Особых параметрах" сервера OpenVPN дописал:

client-to-client;
route 192.168.200.0 255.255.255.0 172.16.0.33;

Там же в "Специфических настройках клиента":
 

ifconfig-push 172.16.0.33 255.255.255.0;

На Keenetic-е в настройках OpenVPN написал:

dev tun
persist-tun
persist-key
data-ciphers CHACHA20-POLY1305:AES-128-GCM:AES-128-CBC:AES-128-CFB:AES-128-CFB1:AES-128-CFB8:AES-256-CBC:AES-256-GCM
data-ciphers-fallback AES-256-CBC
auth SHA1
tls-client
client
resolv-retry infinite
remote XXX.XXX.XXX.XXX 1194 tcp-client
nobind
verify-x509-name "server" name
remote-cert-tls server

<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
</key>

и поставил "галочки" на пунктах "Использовать для выхода в Интернет" и "Получать маршруты от удалённой стороны".

Таким образом Keenetic получает постоянный IP тунеля 172.16.0.33, а на сервере pfSense появляется маршрут в сеть 192.168.200.0 через 172.16.0.33.

Далее выставил разрешения на файрволах. Конкретнее, на Keenetic-е разрешил TCP, UDP, ICMP на интерфейсах OpenVPN и, ради эксперимента, "Домашняя сеть".

В результате доспут (пинги) из удалённой (за Keenetic-ом) сети в основную есть. Связь стабильна.
А в обратную нет. Конкретнее, с сервера pfSense принг проходит на 172.16.0.33, но не проходит на 192.168.200.1 и дальше. 

Думаю, что проблема в Keenetic-е, но не уверен. Где и что ещё надо дописать для доступа из основной сети в удалённую?

[ivultux]

Отбой! Моё решение рабочее. Это в pfSense надо было один дополнительный параметр указать. 

[ivultux]

Кое-что всё-таки не работает.

Keenetic не принимает настройку домена для поиска в DNS. Т.е. в настройках OpenVPN сервера указано передавать клиенту IP DNS и домен, а Keenetic принимает только IP DNS. В результате peer-to-peer соединение устанавливается, но в удалённой сети не работает преобразование по hostname. Нужно обязательно вводить hostname.domain или IP адрес.

Пробовал в дополнительных настройках сервера дописывать:

push "dhcp-option DOMAIN my.company.domain"

или

push "dhcp-option DOMAIN-SEARCH my.company.domain"

Keenetic имена хостов в указанном домене не ищет.

Так же добавлял IP DNS с доменом в "Интернет-фильты" -> "Настройка DNS". Единственная настройка, которую я нашёл, где можно явно указать домен поиска. Но и это не помогло. Короткие имена хостов Keenetic определять отказывается.

Как заставить Keenetic использовать домен для преобразования имён? 

[Denis P]

3 минуты назад, ivultux сказал:

Единственная настройка, которую я нашёл, где можно явно указать домен поиска. Но и это не помогло.

Показывайте что и как делали, чтобы помогло. Именно в интернет фильтрах

[ivultux]

Сейчас у меня такая ситуация.

На иллюстрации:

1 - параметры ДНС, которые Кинетик получает от OpenVPN-сервера.
2 и 3 - это я добавил вручную.

Пробовал не передавать настройки ДНС Кинетику от сервера. То же самое, Failed to resolve "имя_хоста".

 

Edited November 26 by ivultux