OpenVPN Client в режиме [Site to site/peer to peer]

[mic.bummer]

Здравствуйте, есть загвоздка в настройке OpenVPN клиента Keenetic Giga III с PFsense в режиме  [Site to site/peer to peer SSL/TLC]

Клиент:

OpenVPN client в режиме Remote Access подключается:  

dev tun
persist-tun
persist-key
cipher AES-256-CBC
auth SHA1
tls-client
client
resolv-retry infinite
remote domain.com 1196 udp
verify-x509-name "CA-OpenVPN" name
auth-user-pass
remote-cert-tls server

<ca>
-----BEGIN CERTIFICATE-----
>>>>
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
>>>>
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
>>>>
-----END PRIVATE KEY-----
</key>
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
>>>>
-----END OpenVPN Static key V1-----
</tls-auth>
key-direction 1

В режиме [Site to site/peer to peer SSL/TLC] ошибки:

dev tun
persist-tun
persist-key
cipher AES-256-CBC
auth SHA1
tls-client
client
resolv-retry infinite
remote domain.com 1196 udp
verify-x509-name "CA-OpenVPN" name
remote-cert-tls server

<ca>
-----BEGIN CERTIFICATE-----
>>>>
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
>>>>
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
>>>>
-----END PRIVATE KEY-----
</key>
<tls-auth>
#
# 2048 bit OpenVPN static key
#
>>>>
-----END OpenVPN Static key V1-----
</tls-auth>

NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
TLS Error: TLS handshake failed

Подскажите пожалуйста, как добиться работы OpenVPN в режиме [Site to site/peer to peer]?

Чтобы у локальной сети [OpenVPN Server] был доступ в локальную сеть [OpenVPN Client] и наоборот

Спасибо!?

Изменено 2 ноября, 2018 пользователем mic.bummer

[Роман Хитров]

День добрый. Такая же ошибка в режиме [Site to site/peer to peer SSL/TLC]

Добились какого нибудь результата?

[mic.bummer]

В 08.05.2019 в 14:35, Роман Хитров сказал:

День добрый. Такая же ошибка в режиме [Site to site/peer to peer SSL/TLC]

Добились какого нибудь результата?

+ параметр сервера

client-to-client

[ivultux]

Приветствую!

Не стал новую тему создавать. Моему вопросу эта ветка ближе всех.

У меня сейчас pfSense 2.8.1. На Keenetic-ах прошивка 4.3.6.3.

Нужно подключить несколько удалённых офисов. Пытаюсь настроить подключение сети одного из них.
На pfSense поднят OpenVPN. Сеть тунеля 172.16.0.0/24. Удалённая сеть - 192.168.200.0/24.
На pfSense в "Особых параметрах" сервера OpenVPN дописал:

client-to-client;
route 192.168.200.0 255.255.255.0 172.16.0.33;

Там же в "Специфических настройках клиента":
 

ifconfig-push 172.16.0.33 255.255.255.0;

На Keenetic-е в настройках OpenVPN написал:

dev tun
persist-tun
persist-key
data-ciphers CHACHA20-POLY1305:AES-128-GCM:AES-128-CBC:AES-128-CFB:AES-128-CFB1:AES-128-CFB8:AES-256-CBC:AES-256-GCM
data-ciphers-fallback AES-256-CBC
auth SHA1
tls-client
client
resolv-retry infinite
remote XXX.XXX.XXX.XXX 1194 tcp-client
nobind
verify-x509-name "server" name
remote-cert-tls server

<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
</key>

и поставил "галочки" на пунктах "Использовать для выхода в Интернет" и "Получать маршруты от удалённой стороны".

Таким образом Keenetic получает постоянный IP тунеля 172.16.0.33, а на сервере pfSense появляется маршрут в сеть 192.168.200.0 через 172.16.0.33.

Далее выставил разрешения на файрволах. Конкретнее, на Keenetic-е разрешил TCP, UDP, ICMP на интерфейсах OpenVPN и, ради эксперимента, "Домашняя сеть".

В результате доспут (пинги) из удалённой (за Keenetic-ом) сети в основную есть. Связь стабильна.
А в обратную нет. Конкретнее, с сервера pfSense принг проходит на 172.16.0.33, но не проходит на 192.168.200.1 и дальше. 

Думаю, что проблема в Keenetic-е, но не уверен. Где и что ещё надо дописать для доступа из основной сети в удалённую?

[ivultux]

Отбой! Моё решение рабочее. Это в pfSense надо было один дополнительный параметр указать.