Добрый день. Задача стоит в том, что нужно поставить в удаленную сеть сервер pfsense работающий как клиент OpenVPN. Тут есть 2 варианта, но я не очень представляю как лучше сделать и как сделать это правильно. В сети есть Керио-сервер, который поднимет интернет, раздает ip и там настроены политики безопасности. Не хотелось бы его убирать совсем.
1. (Провайдер)=>(openvpn pfsense)=>(kerio)=>(сеть)
В первом варианте, правильно ли я понимаю что нужно поднимать интернет и раздавать DHCP с pfsense, но что тогда нужно сделать на керио? Интерфейс wan настроить как локальный ip адрес, а lan должен иметь в шлюзе ip wan? и в DHCP указать что шлюз для пк в сети был kerio? Или сделать нужно как-то подругому?
2. (Провайдер)=>(kerio)=>(сеть)=>(внутри сети openvpn pfsense)
Во втором варианте, я так понимаю можно оставить всё как есть, просто нужно пробросить порт для openvpn клиента и он будет так же подниматься, только в настройках ovpn нужно указать чтобы openvpn запускался с lan интерфейса. Нужно ли еще что-то настроить? Ведь если даже Ovpn поднимется он же каким то образом должен раздать клиентам в сети виртуальные ip адреса? Для этого что нужно сделать?
Для openvpn клиента надо лишь открыть порт на исходящие по номеру порта openvpn. Ставить его можно за любой NAT, будет работать.И не ясно, какую задачу должен выполнять openvpn клиент...
он должен позволять остальным клиентам в сети попадать в сеть где установлен OpenVPN сервер, то есть трафик до удаленной сети должен идти, так как там есть нужные сервера. Но так же нужен доступ и в интернет. То что OpenVPN клиент будет подключатся к серверу это круто, а что нужно сделать чтобы остальные клиенты в сети попали в удаленную сеть? нужен маршрут до удаленной сети через openvpn сервер и всё?
Руслан Samara, в таком случае ваш openVPN клиент должен или являться шлюзом для вашей сети.
Или с помощью правил роутинга надо завернуть траффик со шлюза на openVPN.
Пример хотим на Ip адрес удаленной сети попасть - шлюзом должен быть ваш openvpn клиент...
Пример для оборудования микротик, в linux похоже.
/ip route add dst-address=192.168.0.0/16(удаленная подсеть) gateway=192.168.2.180(ваш openVPN клиент)
Обычно используют второй вариант или третий.
Третий - это когда на шлюзе (у вас это Керио) разворачивают и ВПН сервер.
На счет раздачи адресов внутри ВПН - этот функционал встроен в OpenVPN сервер, диапазоны адресов настраиваются конфигом, ничего дополнительно поднимать не нужно.
Первый вариант - ВПН сервер открыт для атак снаружи, там придется настраивать фаервол практически аналогично Керио. А это уже превращает этот вариант в третий :-) и керио становится не нужен.
Средний
