站点对站点的OpenVPN & pfSense没有通过流量的麻烦

Question

我正在尝试让OpenVPN隧道在pfSense 1.2.3上运行--在嵌入式路由器上运行。

我有一个本地局域网10.34.43.0/254。远程局域网为10.200.1.0/24。本地pfSense配置为客户端，远程配置为服务器。

我的OpenVPN隧道在内部使用IP范围10.99.89.0/24。在通过隧道的远程侧也有一些额外的LAN，但是问题不在这些，因为在链接中的那个点之前，我的连接失败了。

隧道开得很好，原木看上去很健康。我发现的是：-

• 我可以通过本地pfSense盒的外壳向远程局域网和附加的远程局域网发送ping和telnet。
• 我不能从本地网络连接任何远程局域网。
• 我不能从远程局域网或远程pfSense盒的外壳连接本地网络。
• 如果我tcpdump两边的tun接口和来自本地LAN的ping，我看到数据包在本地命中隧道，但是它们没有出现在远程端(如果我tcpdump，它们也不会出现在远程LAN接口上)。
• 如果我从本地pfSense外壳中转储两侧的tun接口和ping，我会看到数据包在本地命中隧道，并退出远程端。我也可以tcpdump远程局域网接口，并看到他们传递到那里。
• 如果我将tcpdump两边的tun接口和来自远程pfSense外壳的ping转储，我看到数据包击中了远程tun，但它们并不是从本地的数据包中出现的。

下面是远程端使用的配置文件：-

#user nobody
#group nobody
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
dev tun
proto udp
cipher BF-CBC
up /etc/rc.filter_configure
down /etc/rc.filter_configure
server 10.99.89.0 255.255.255.0
client-config-dir /var/etc/openvpn_csc
push "route 10.200.1.0 255.255.255.0"
lport <port>
route 10.34.43.0 255.255.255.0
ca /var/etc/openvpn_server0.ca
cert /var/etc/openvpn_server0.cert
key /var/etc/openvpn_server0.key
dh /var/etc/openvpn_server0.dh
comp-lzo
push "route 205.217.5.128 255.255.255.224"
push "route 205.217.5.64 255.255.255.224"
push "route 165.193.147.128 255.255.255.224"
push "route 165.193.147.32 255.255.255.240"
push "route 192.168.1.16 255.255.255.240"
push "route 192.168.2.16 255.255.255.240"

以下是本地配置：-

writepid /var/run/openvpn_client0.pid
#user nobody
#group nobody
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
dev tun
proto udp
cipher BF-CBC
up /etc/rc.filter_configure
down /etc/rc.filter_configure
remote <host> <port>
client
lport 1194
ifconfig 10.99.89.2 10.99.89.1
ca /var/etc/openvpn_client0.ca
cert /var/etc/openvpn_client0.cert
key /var/etc/openvpn_client0.key
comp-lzo

您可以在此处看到从pfSense提取的路由表的相关部分，http://pastie.org/5365800

本地防火墙允许来自局域网的所有ICMP，我的PC允许任何东西进入任何地方。远程防火墙将其局域网视为受信任的，并允许该接口上的所有通信量。

有人能提出为什么这不起作用吗，以及我下一步可以尝试什么？

Answer 1

对于SSL/TLS站点到站点VPN，您需要服务器上的路由，以及特定于客户端的覆盖中的iroute。这里的描述听起来好像你错过了那条路。与共享密钥不同，服务器上的路由就足够了。在这种VPN的情况下，服务器上的路由将流量发送到特定的OpenVPN实例，并且它的内部路由，通过its，必须知道哪个客户端要路由该特定的网络。

在VPN>OpenVPN的客户端特定覆盖选项卡下，添加一个新条目。对于“公共名称”，从客户端的证书中输入CN。在“高级”框中，填写"iroute 10.34.43.0 255.255.255.0“(无引号)。将其余部分保留在默认值处，单击Save。从客户端系统上的OpenVPN客户端重新启动Status>Services，一旦它重新连接，如果它确实是缺少的it，它就会工作。