[ Miroslav Jeftić @ 24.01.2014. 16:25 ] @
Par pitanja samo pošto sam početnik u ovome. Na pfsense/openvpn serveru imam namešteno da je adresa tunela (između klijenta i servera) 192.168.0.1/24, a LAN mreža koja je iza servera je 192.168.1.1/24. E sad, server bi trebalo automatski da rutira između 192.168.0.1 i 192.168.1.1 (možda ovaj deo i nisam dobro razumeo)? Međutim, kada se povežem sa klijentom i dobijem adresu iz opsega 192.168.0.x, ne vidim ništa u opsegu 192.168.1.1. Da li mi neko podešavanje fali/ili sam negde omašio?

Još jedno pitanje nevezano za ovo gore, kada sam izvezao Openvpn konfiguraciju iz pfsensa, dobio sam config fajl, key fajl i .p12 Personal Information Exchange fajl. S druge strane, u skoro svim tutorijalima za podešavanje Openvpna npr. na Ubuntu, Windowsu itd. se pored config i key fajla kreiraju sertifikati, CA i user sertifikat, a ne pominje se ovaj Personal Exchange ... u čemu je razlika između te dve postavke/konfiguracije?
[ bachi @ 24.01.2014. 17:09 ] @
Citat:
Miroslav Jeftić: Par pitanja samo pošto sam početnik u ovome. Na pfsense/openvpn serveru imam namešteno da je adresa tunela (između klijenta i servera) 192.168.0.1/24, a LAN mreža koja je iza servera je 192.168.1.1/24. E sad, server bi trebalo automatski da rutira između 192.168.0.1 i 192.168.1.1 (možda ovaj deo i nisam dobro razumeo)? Međutim, kada se povežem sa klijentom i dobijem adresu iz opsega 192.168.0.x, ne vidim ništa u opsegu 192.168.1.1. Da li mi neko podešavanje fali/ili sam negde omašio? :)

Da li klijenti znaju za rute? Na klijentu kucaj route print i vidi da li zna kako da dođe do 192.168.1.0 subneta.

Takođe, jesi li dodao pravilo u firewallu na pfsensesu kako na lan strani, tako i na openvpn strani da propuštaju saobraćaj?

Citat:
Još jedno pitanje nevezano za ovo gore, kada sam izvezao Openvpn konfiguraciju iz pfsensa, dobio sam config fajl, key fajl i .p12 Personal Information Exchange fajl. S druge strane, u skoro svim tutorijalima za podešavanje Openvpna npr. na Ubuntu, Windowsu itd. se pored config i key fajla kreiraju sertifikati, CA i user sertifikat, a ne pominje se ovaj Personal Exchange ... u čemu je razlika između te dve postavke/konfiguracije? :)

Pojma nemam, ja sertifikate pravim iz Windowsa uz onaj programčić što stiže uz sam OpenVPN. .p12 je verovatno all in one fajl. :D
[ Miroslav Jeftić @ 24.01.2014. 20:01 ] @
Hm... ako dobro shvatam, izgleda da je moj problem to što koristim tun, a ne tap interfejs i da bi trebalo koristiti bridging, a ne routing.

Citat:
When a client connects via bridging to a remote network, it is assigned an IP address that is part of the remote physical ethernet subnet and is then able to interact with other machines on the remote subnet as if it were connected locally.


Otprilike to i jeste ono što mi treba, da mogu da vidim šerovane foldere, remote desktop i slično.
[ bachi @ 24.01.2014. 20:22 ] @
Pa i preko tun interfejsa možeš da koristiš to što si naveo. Tap je možda bolje rešenje za udaljene klijente, za proste mreže (jedan subnet i to je to), ali za site2site vpn je po meni mnogo bolje tun. Plus što preko tuna možeš da kačiš koliko hoćeš udaljenih site2site lokacija i radiš rutiranje, što je sa tapom noćna mora. A i ceo brodcast saobraćaj iz tog subneta se šalje i tebi što stvara dodatni saobraćaj.

Takođe, ADroid i ostali ne podržavaju TAP, samo TUN.

Koristio tun ili tap, svakako moraš pod firewall rules da omogućiš vpn saobraćaj.

Za početak, idi na Firewall, pa na rules, pa OpenVPN, pa dodaj pravilo kao na slici

Odeš na ok, pa na apply rules.

Na Firewall, rules, LAN isto dodaj pravilo da pušta sve (pa kasnije koriguj ko šta i gde) idi na apply rules i isto vidi radi li međusobno pingovanje.

[ Miroslav Jeftić @ 24.01.2014. 20:49 ] @
Hm.. totalno uvrnuto, sad još malo proveravam. Npr. jednu mašinu (Windows Server 2008 ) mogu da pingujem najnormalnije, ali Map Network Drive ne radi niti radi Remote Desktop; na drugoj mašini (Windows XP) radi ping, radi Remote Desktop, ali isto ne radi Network Drive Izgleda da je ipak pre nešto do Windows-a, a ne do VPN-a, osim ako iz nekog razloga VPN nije blokirao samo jedan deo saobraćaja... bem li ga, još ću malo drndati, možda nabodem
[ bachi @ 24.01.2014. 21:04 ] @
A kada pristupaš shareu preko ip adrese, radi li tad? \\192.168.1.1\share ?
[ Miroslav Jeftić @ 24.01.2014. 21:37 ] @
U podešavanjima Openvpn servera treba uključiti "Enable NetBIOS over TCP/IP" i stavio sam b-node za tip, sad je proradio File Sharing.

[Ovu poruku je menjao Miroslav Jeftić dana 24.01.2014. u 23:00 GMT+1]