несколько примеров настройки.
Отличие от типичной конфигурации что – из одной сети доступен 2-й офис или магазин и с точностью до наоборот тоже.
Если не работает то читаем здесь и делаем еще раз.
В 3-м примере клиент openvpn это просто отдельная машинка с FreeBSD 13 используется как сервер и серьезный веб сайт. она в подземном хранилище.
Да , тип соединения openvpn shared key то есть ключ одинаковый у всех.
Если не получается ни в какую – тут есть связь офисов просто через 2 сервера виндоуз. Работает так же надежно, полгода вообще не трогал было дело. Но я считаю что FreeBSD надежнее. Диск жесткий только магнитный например Hitachi 7200 4tb. Да ssd побыстрее но чаще дохнут.
Все начинается с установки системы. Два варианта – виртуалбокс (в настройках сети разрешить все) или гипер-ви . да еще и третий = поставить на выделенный сервер. Скачать тогда не образ dvd а образ флешки – сейчас система FreeBSD а она в основе сборки ставится как windows 10 с usb флешки. Записать ее из линукса или через Rufus например.
статья исправляется
Сначала результат а не как лазить по меню и какую кнопку нажимать. Ключ на устройстве заменил но его можно и оставить а лучше сделать новый..
Есть 2 рабочих места в офисе и 2 в другом и
они работают как будто в одной комнате и с одним сервером. А между ними 800 км. (Первый рабочий вариант делал Москва Минск и это был 2000 сервер и потом 2003 ). На роутере microsoft windows server. Routing (Firewall) Remote Access (server 2003 – 2008 -2012 – 2016 2019) / там то же самое настраивается и работает. Смотрим здесь запись.
Блок настроек сервера (/cf/conf/config.xml)
<?xml version="1.0"?> <pfsense> <version>22.0</version> <lastchange></lastchange> <system> <optimization>normal</optimization> <hostname>pfSense</hostname> <domain>home.arpa</domain> <dnsserver></dnsserver> <dnsallowoverride></dnsallowoverride> <group> <name>all</name> <description><![CDATA[All Users]]></description> <scope>system</scope> <gid>1998</gid> </group> <group> <name>admins</name> <description><![CDATA[System Administrators]]></description> <scope>system</scope> <gid>1999</gid> <member>0</member> <priv>page-all</priv> </group> <user> <name>admin</name> <descr><![CDATA[System Administrator]]></descr> <scope>system</scope> <groupname>admins</groupname> ... <ssh> <enable>enabled</enable> <sshdagentforwarding>enabled</sshdagentforwarding> <port>429</port> </ssh> ** 429 port not 22 .. <pkg_repo_conf_path>/usr/local/share/pfSense/pkg/repos/pfSense-repo-devel. conf</pkg_repo_conf_path> ** pkg install mc (update all first) Enable Freebsd - disable before update .. <interfaces> <wan> <enable></enable> <if>em0</if> <descr><![CDATA[WAN]]></descr> <spoofmac></spoofmac> <ipaddr>192.168.0.250</ipaddr> <subnet>24</subnet> <gateway>WANGW</gateway> </wan> <lan> <descr><![CDATA[LAN1]]></descr> <if>ovpns1</if> <spoofmac></spoofmac> <enable></enable> </lan> </interfaces> <staticroutes></staticroutes> .. <filter> <rule> <id></id> <tracker>1630599946</tracker> <type>pass</type> <interface>wan</interface> <ipprotocol>inet</ipprotocol> <tag></tag> <tagged></tagged> <max></max> <max-src-nodes></max-src-nodes> <max-src-conn></max-src-conn> <max-src-states></max-src-states> <statetimeout></statetimeout> <statetype><![CDATA[keep state]]></statetype> <os></os> <protocol>tcp</protocol> <source> <any></any> </source> <destination> <any></any> </destination> <descr></descr> <created> .. </created> </rule> <rule> <id></id> <tracker>0100000101</tracker> <type>pass</type> <interface>wan</interface> <ipprotocol>inet</ipprotocol> <tag></tag> <tagged></tagged> <max></max> <max-src-nodes></max-src-nodes> <max-src-conn></max-src-conn> <max-src-states></max-src-states> <statetimeout></statetimeout> <statetype><![CDATA[keep state]]></statetype> <os></os> <source> <any></any> </source> <destination> <any></any> </destination> <descr><![CDATA[Default allow LAN to any rule]]></descr> ** <rule> <id></id> <tracker>1630599992</tracker> <type>pass</type> <interface>openvpn</interface> <ipprotocol>inet</ipprotocol> <tag></tag> <tagged></tagged> <max></max> <max-src-nodes></max-src-nodes> <max-src-conn></max-src-conn> <max-src-states></max-src-states> <statetimeout></statetimeout> <statetype><![CDATA[keep state]]></statetype> <os></os> <protocol>tcp</protocol> <source> <any></any> </source> <destination> <any></any> </destination> <descr></descr> <updated> <separator> <wan></wan> <openvpn></openvpn> <lan></lan> </separator> </filter> ** исправлено все на * any to any ... <openvpn> <openvpn-server> <vpnid>1</vpnid> <mode>p2p_shared_key</mode> <protocol>TCP4</protocol> <dev_mode>tun</dev_mode> <interface>wan</interface> <ipaddr></ipaddr> <local_port>62317</local_port> <description><![CDATA[meow]]></description> <custom_options>push "route 10.13.13.0 255.255.255.0"pus h "route 192.168.0.0 255.255.255.0"</custom_options> <shared_key>Iw0KIyAyMDQ4IGJpdCBPcGVuVlBOIHN0YXRpYyBrZXkNCiMNCi0tLS 0tQkVHSU4gT3BlblZQTiBTdGF0aWMga2V5IFYxLS0tLS0NCjkzY2FiOGExOWYyZDQ5ZWNlYjZiYzEyM2UxNDk0MmRi DQoxYTQzODExZTI3YjQ5NmU5Nzg4MGZiNDlmZTA3ZDg5Mg0KMGQ2YjM5YmFkODA2MWEzNmEyZWZjNzE5YmEwOGY4Nz gNCjQwMjRmNzFkN2NmNWY5MGZiOGQxZDQyMTNlMTY4MzE5DQowZmVlN2FlYzRiOTQ5MjRiZDZkOWRlMzA1MWY0YWRj MA0KODE5YTQzZTZmZGFmNjk0MjdkZDQ1Mjg3ZmU0MTIwZjYNCjA0MDgzNmI2NzM2ZjYyNWVmYjhjYWZiNDU5YTEyZD I5DQphODUwYmQ5ZDg4NjI5OGNmNmRjNDg2NWFiZWZlYTVhOA0KYzkxZTkzMzY4M2UyYWNiMzJkYjJiOTFiMWY2NWUw ZWINCmMyMGY5NDM3YmY3OThmMTUzNWY1MjNiZGY5OWU5ZjA2DQoyNDk0ZmZmZWU1NTkyOWNjOGZkODg1NjE0M2Y0MG I1ZQ0KOThjZDQ0OGIyZWUwYzdmYzgwMjA0YzgyZjY1YmZiNTgNCjZlNDg4MDQ3Yjk2ZDIyYzY2YjkxN2U5MzA1NGRh YmFlDQplYzZiZGY5MjM3NjYxYTE3MGUyMDgyODlhODJhMmVkNA0KNGI5NzhkYmQwZWU3NGQ5MTdhNTA5NzEzOWUyYj JiMjINCmNmMDcwZWZhMDAzZGNkM2NiYzg2YzI4YzhkMmNhM2VlDQotLS0tLUVORCBPcGVuVlBOIFN0YXRpYyBrZXkg VjEtLS0tLQ0M</shared_key> <data_ciphers_fallback>AES-256-CBC</data_ciphers_fallback> <digest>SHA256</digest> <engine>none</engine> <tunnel_network>10.13.13.0/24</tunnel_network> <tunnel_networkv6></tunnel_networkv6> <remote_network>192.168.178.0/24,192.168.40.0/24</remote_network> <remote_networkv6></remote_networkv6> <gwredir></gwredir> <gwredir6></gwredir6> <local_network></local_network> <local_networkv6></local_networkv6> <maxclients>3</maxclients> <allow_compression>asym</allow_compression> <compression>lz4-v2</compression> <compression_push></compression_push> <passtos>yes</passtos> <client2client>yes</client2client> <dynamic_ip></dynamic_ip> <topology>subnet</topology> <serverbridge_dhcp></serverbridge_dhcp> <serverbridge_interface>none</serverbridge_interface> <serverbridge_routegateway></serverbridge_routegateway> <serverbridge_dhcp_start></serverbridge_dhcp_start> <serverbridge_dhcp_end></serverbridge_dhcp_end> <username_as_common_name><![CDATA[disabled]]></username_as_common_ name> <sndrcvbuf>2097152</sndrcvbuf> <netbios_enable></netbios_enable> <netbios_ntype>0</netbios_ntype> <netbios_scope></netbios_scope> <create_gw>v4only</create_gw> <verbosity_level>5</verbosity_level> <data_ciphers>AES-256-GCM,AES-128-CBC,CHACHA20-POLY1305</data_ciph ers> <ncp_enable>enabled</ncp_enable> <ping_method>keepalive</ping_method> <keepalive_interval>10</keepalive_interval> <keepalive_timeout>60</keepalive_timeout> <ping_seconds>10</ping_seconds> <ping_push></ping_push> <ping_action>ping_restart</ping_action> <ping_action_seconds>60</ping_action_seconds> <ping_action_push></ping_action_push> <inactive_seconds>0</inactive_seconds> </openvpn-server> ** добавлен маршрут и client2client адрес внутренней сети у известного модема Акадо телеком ** дополнительные команды прописываются в окошке через веб конфигуратор, при настройке можно напрямую в файл --------- напрямую настройка сервера удаленного доступа (FreeBSD 12 - 13 или Ubuntu 20+) openvpn server ... config.ovpn chmod 644 dev ovpns1 verb 5 dev-type tun dev-node /dev/tun1 writepid /var/run/openvpn_server1.pid #user nobody #group nobody script-security 3 daemon keepalive 10 60 ping-timer-rem persist-tun persist-key proto tcp4-server auth SHA256 up /usr/local/sbin/ovpn-linkup down /usr/local/sbin/ovpn-linkdown local 192.168.178.34 ifconfig 10.11.11.1 10.11.11.2 lport 62319 management /var/etc/openvpn/server1/sock unix max-clients 3 route 192.168.0.0 255.255.255.0 route 192.168.40.0 255.255.255.0 secret /var/etc/openvpn/server1/secret data-ciphers AES-256-GCM:AES-128-CBC:CHACHA20-POLY1305:AES-256-CBC data-ciphers-fallback AES-256-CBC allow-compression asym compress lz4-v2 passtos sndbuf 2097152 rcvbuf 2097152 push "route 10.11.11.0 255.255.255.0" push "route 192.168.178.0 255.255.255.0" #client-connect /usr/local/sbin/openvpn.attributes.sh #client-disconnect /usr/local/sbin/openvpn.attributes.sh #tls-server #server 10.11.11.0 255.255.255.0 #client-config-dir /var/etc/openvpn/server1/csc #username-as-common-name #plugin /usr/local/lib/openvpn/plugins/openvpn-plugin-auth-script.so /usr/local/sbin/ovpn_auth_verify_async user XXX= false server2 51094 #tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'MEOOW' 1" #duplicate-cn #capath /var/etc/openvpn/server1/ca #cert /var/etc/openvpn/server1/cert. #key /var/etc/openvpn/server1/key. #dh /etc/dh-parameters.2048 #tls-auth /var/etc/openvpn/server1/tls-auth 0 #persist-remote-ip #float #topology subnet это настройка по паролю - shared key - и соединяется только 1 клиент - другой сервер строки снизу # - настройка по ключам и сертификатам, может подключаться много клиентов (remote access server)
этот блок на втором сервере – он клиент
<openvpn-client> <auth_user></auth_user> <auth_pass></auth_pass> <proxy_user></proxy_user> <proxy_passwd></proxy_passwd> <vpnid>1</vpnid> <protocol>TCP4</protocol> <dev_mode>tun</dev_mode> <interface>wan</interface> <ipaddr></ipaddr> <local_port></local_port> <server_addr>194.85.15.198</server_addr> <server_port>62317</server_port> <proxy_addr></proxy_addr> <proxy_port></proxy_port> <proxy_authtype>none</proxy_authtype> <description><![CDATA[bridge-site2]]></description> <mode>p2p_shared_key</mode> <topology>subnet</topology> <custom_options></custom_options> <shared_key>Iw0KIyAyMDQ4IGJpdCBPcGVuVlBOIHN0YXRpYyBrZXkNCiMNCi0tLS0tQkVHSU4gT3BlblZQTiBTdGF0aWMga2V5IFYxLS0tLS0NCjkzY2FiOGExOWYyZDQ5ZWNlYjZiYzEyM2UxNDk0MmRiDQoxYTQzODExZTI3YjQ5NmU5Nzg4 MGZiNDlmZTA3ZDg5Mg0KMGQ2YjM5YmFkODA2MWEzNmEyZWZjNzE5YmEwOGY4NzgNCjQwMjRmNzFkN2NmNWY5MGZiOGQxZDQyMTNlMTY4MzE5DQowZmVlN2FlYzRiOTQ5MjRiZDZkOWRlMzA1MWY0YWRjMA0KODE5YTQzZTZmZGFmNjk0MjdkZDQ1Mjg3ZmU0MTIwZjYNCjA0MDgz NmI2NzM2ZjYyNWVmYjhjYWZiNDU5YTEyZDI5DQphODUwYmQ5ZDg4NjI5OGNmNmRjNDg2NWFiZWZlYTVhOA0KYzkxZTkzMzY4M2UyYWNiMzJkYjJiOTFiMWY2NWUwZWINCmMyMGY5NDM3YmY3OThmMTUzNWY1MjNiZGY5OWU5ZjA2DQoyNDk0ZmZmZWU1NTkyOWNjOGZkODg1NjE0 M2Y0MGI1ZQ0KOThjZDQ0OGIyZWUwYzdmYzgwMjA0YzgyZjY1YmZiNTgNCjZlNDg4MDQ3Yjk2ZDIyYzY2YjkxN2U5MzA1NGRhYmFlDQplYzZiZGY5MjM3NjYxYTE3MGUyMDgyODlhODJhMmVkNA0KNGI5NzhkYmQwZWU3NGQ5MTdhNTA5NzEzOWUyYjJiMjINCmNmMDcwZWZhMDAz ZGNkM2NiYzg2YzI4YzhkMmNhM2VlDQotLS0tLUVORCBPcGVuVlBOIFN0YXRpYyBrZXkgVjEtLS0tLQ0M</shared_key> <data_ciphers_fallback>AES-256-CBC</data_ciphers_fallback> <digest>SHA256</digest> <engine>none</engine> <tunnel_network>10.13.13.0/24</tunnel_network> <tunnel_networkv6></tunnel_networkv6> <remote_network>192.168.0.0/24</remote_network> <remote_networkv6></remote_networkv6> <use_shaper></use_shaper> <allow_compression>asym</allow_compression> <compression>lz4-v2</compression> <auth-retry-none></auth-retry-none> <passtos>yes</passtos> <udp_fast_io></udp_fast_io> <exit_notify></exit_notify> <sndrcvbuf>2097152</sndrcvbuf> <route_no_pull></route_no_pull> <route_no_exec></route_no_exec> <dns_add></dns_add> <verbosity_level>5</verbosity_level> <create_gw>v4only</create_gw> <data_ciphers>AES-256-CBC,AES-128-CBC,CHACHA20-POLY1305</data_ciphers> <ncp_enable>enabled</ncp_enable> <ping_method>keepalive</ping_method> <keepalive_interval>10</keepalive_interval> <keepalive_timeout>60</keepalive_timeout> <ping_seconds>10</ping_seconds> <ping_action>ping_restart</ping_action> <ping_action_seconds>60</ping_action_seconds> <inactive_seconds>0</inactive_seconds> </openvpn-client> ** any to any pass * все интерфейсы добавлены и там прописано то же самое!


pFirewall
это обозначает отключить к **#@@%* *@$%* <beep>
Но не перестараться – именно firewall управляет маршрутами.




еще один комп (freebsd) – только одновременно 2 компьютера соединены сервер и клиент – если надо 3 то можно на 3-м еще прописать сервер и на 2-м еще один клиент. Адреса внутренние изменить на вторых записях. (а на винде – маршрутизация и удаленный доступ система понимает 3 точки.. но встречные соединения надо)
. Это просто установлен Openvpn и скопирована пара скриптов от pfsense – не обязательно и дописано 2 для запуска. ./pusk .. соединение .. killall openvpn разъединение.
openvpn-client config.ovpn (это содержимое файла pusk) chmod 777 (+X) ./openvpn-client config (команда) ... #!/bin/sh exec /usr/local/sbin/openvpn --script-security 2 \ --up /usr/local/libexec/openvpn-client.up \ --plugin openvpn-plugin-down-root.so /usr/local/libexec/openvpn-client.down \ --config "$@" ... в файл openvpn-client chmod +X igb0 (в файл interface) исправить правильно какой там на компе ... config.ovpn #dev ovpnc1 dev tun1 verb 7 log /var/log/openvpn.log dev-type tun dev-node /dev/tun1 #dev-node /dev/ovpnc1 writepid /var/run/openvpn_client1.pid #user nobody #group nobody script-security 3 daemon keepalive 10 60 ping-timer-rem persist-tun persist-key proto tcp4-client auth SHA256 up /usr/local/sbin/ovpn-linkup down /usr/local/sbin/ovpn-linkdown local 192.168.178.34 lport 0 management /var/etc/openvpn/client1/sock unix remote 194.85.15.198 62317 tcp4-client ifconfig 10.13.13.3 10.13.13.1 #route 192.168.40.0 255.255.255.0 route 192.168.0.0 255.255.255.0 secret /var/etc/openvpn/client1/secret data-ciphers AES-128-GCM:AES-256-CBC data-ciphers-fallback AES-256-CBC allow-compression asym compress lz4-v2 passtos resolv-retry infinite sndbuf 2097152 rcvbuf 2097152 ... config.ovpn xwost /var/etc/openvpn/client1/secret 657/657 100% # # 2048 bit OpenVPN static key # -----BEGIN OpenVPN Static key V1----- 93cab8a19f2d49eceb6bc123e14942db 1a43811e27b496e97880fb49fe07d892 0d6b39bad8061a36a2efc719ba08f878 4024f71d7cf5f90fb8d1d4213e168319 0fee7aec4b94924bd6d9de3051f4adc0 819a43e6fdaf69427dd45287fe4120f6 040836b6736f625efb8cafb459a12d29 a850bd9d886298cf6dc4865abefea5a8 c91e933683e2acb32db2b91b1f65e0eb c20f9437bf798f1535f523bdf99e9f06 2494fffee55929cc8fd8856143f40b5e 98cd448b2ee0c7fc80204c82f65bfb58 6e488047b96d22c66b917e93054dabae ec6bdf9237661a170e208289a82a2ed4 4b978dbd0ee74d917a5097139e2b2b22 cf070efa003dcd3cbc86c28c8d2ca3ae -----END OpenVPN Static key V1----- v fail secret
с настройкой через ssh ну да там в линуксе вот такая команда – ( ssh user@host -p 422 ) это уже может подходить под заголовок сайта. Не просто подсказка сисадмину – изучить на английском соединение через командную строку, а там и с одного на другой совсем просто соединиться и есть ключ и пароль или только ключ или только пароль.