PF Sense Brige - для одной подсети (one subnetwork)

PF Sense Brige - site-to-site для одной подсети (one subnetwork)

В этой статье описана настройка OpenVPN для инфраструктуры с разными подсетями. Что делать если подсеть нужна одна. Для этого нужен Open VPN с сетевыми бриджами. (Network Brige ). Другими словами VPN тунель просто соединяет два сегмента сети, прицип работы похож на обычный свитч. С пробросом ARP и так далее.
И так моя локальная сеть
172.17.10.0/24 
Все довольно просто. PFsense у нас уже установлен и базовая настройка сделана

На первом будет VPN сервер
Идем в

1. VPN
2. OpenVPN
3. Servers

И добавляемый новый сервер 

Server mode - Peer to Peer (Shared key)

Protocol UDP  

Device mode - TAP (виртуальный адаптер)

Shared key

Automatically generate a shared key

IPv4 Tunnel Network    10.10.10.0/30 (можно любую, желательно что бы не совпадала в с Вашей локальной)

Как и в прошлый раз - открываем в фаерволе порт VPN сервера (в моем случае 1194) и я открываю доступ с ЛЮБОГО IP так как система тестовая. В рабочей системе рекомендую обязательно давать доступ только с конкретных IP

Теперь идем в 

1. Interfaces
2. Interface Assignments

И добавляем интефейс ovpns1 . Он появиться скорее всего как OPT1 , кликаем по нему и включаем 

1. Interfaces
2. OPT1

Enable

Enable interface

Так же желательно переименовать во что-то понятно пусть будет OVPN1

Идем в 

1. Interfaces
2. Bridges
3. ADD

И объединяем LAN и OVPN1 (или как Вы его назвали) в Bridge

Далее идем в 

1. Firewall
2. Rules
3. Edit

И открываем все виды трафика для OpenVPN и нашего TAP адаптера.

Все первый хост настроили. Идем на второй, там где будет OpenVPN Client

Настроки как и в первой статье но 

Server mode

Peer to Peer ( SSL/TLS )Peer to Peer ( Shared Key )

Protocol

UDPUDP6TCPTCP6

Device mode

tuntap

Interface

WANLANLocalhostany

Server host or address

Server port 1194

IPv4 Tunnel Network

IPv4 Remote network - НЕ ЗАДАЕМ

Shared Key - копирует с сервера. Новый не генерируем

И собираем Bridge

1. Interfaces
2. Interface Assignments

Interface	Network port
WAN	em0 (00:50:56:ae:7a:62) em1 (00:50:56:ae:3b:57) em2 (00:50:56:ae:1f:1b) ovpnc1 ()
LAN	em0 (00:50:56:ae:7a:62) em1 (00:50:56:ae:3b:57) em2 (00:50:56:ae:1f:1b) ovpnc1 ()
Available network ports:	em2 (00:50:56:ae:1f:1b) ovpnc1 ()

выбираем ovpnc1 и нажмает ADD

1. Interfaces
2. OPT1 
3. General Configuration

Enable

Enable interface

Description

Enter a description (name) for the interface here.

Потом добавленный интерфейс (OPT1) и включаем его. И переименнуем в OVPN2 (или во что хотите, это для вас)

И соберем сам  Bridge

Bridge Configuration

Member Interfaces

WANLANOVPN2

Осталось открыть трафик в Firewoll 

1. Firewall
2. Rules
3. Edit

Edit Firewall Rule

Action

PassBlockReject

WANLANOVPN2OpenVPN

IPv4IPv6IPv4+IPv6

TCPUDPTCP/UDPICMPESPAHGREIPV6IGMPPIMOSPFSCTPanyCARPPFSYNC Choose which IP protocol this rule should match.

ICMP type

anyEcho requestEcho replyDestination unreachableSource quenchRedirectAlternate HostRouter advertisementRouter solicitationTime exceededInvalid IP headerTimestampTimestamp replyInformation requestInformation replyAddress mask requestAddress mask replyTracerouteDatagram conversion errorMobile host redirectIPv6 where-are-youIPv6 I-am-hereMobile registration requestMobile registration replySKIPPhoturis If ICMP is selected for the protocol above, an ICMP type may be specified here.

ICMPv6 type

anyDestination unreachablePacket too bigTime exceededParameter problemEcho requestEcho replyGroup membership queryMulticast listener queryGroup membership reportMulticast listener reportGroup membership terminationMulticast listener doneRouter solicitationRouter advertisementNeighbor solicitationNeighbor advertisementRedirectRouter renumberingWho are you requestWho are you replyFQDN queryFQDN replyNode information requestNode information replymtrace respmtrace messages If ICMP is selected for the protocol above, an ICMP type may be specified here.

Source

Source

Invert match.

anySingle host or aliasNetworkPPPoE clientsL2TP clientsWAN netWAN addressLAN netLAN addressOVPN2 netOVPN2 address

/ 3231302928272625242322212019181716151413121110987654321

Display Advanced

Source port range

(other)anyCVSup (5999)DNS (53)FTP (21)HBCI (3000)HTTP (80)HTTPS (443)ICQ (5190)IDENT/AUTH (113)IMAP (143)IMAP/S (993)IPsec NAT-T (4500)ISAKMP (500)L2TP (1701)LDAP (389)MMS/TCP (1755)MMS/UDP (7000)MS DS (445)MS RDP (3389)MS WINS (1512)MSN (1863)NNTP (119)NTP (123)NetBIOS-DGM (138)NetBIOS-NS (137)NetBIOS-SSN (139)OpenVPN (1194)POP3 (110)POP3/S (995)PPTP (1723)RADIUS (1812)RADIUS accounting (1813)RTP (5004)SIP (5060)SMTP (25)SMTP/S (465)SNMP (161)SNMP-Trap (162)SSH (22)STUN (3478)SUBMISSION (587)Teredo (3544)Telnet (23)TFTP (69)VNC (5900) From

Custom

(other)anyCVSup (5999)DNS (53)FTP (21)HBCI (3000)HTTP (80)HTTPS (443)ICQ (5190)IDENT/AUTH (113)IMAP (143)IMAP/S (993)IPsec NAT-T (4500)ISAKMP (500)L2TP (1701)LDAP (389)MMS/TCP (1755)MMS/UDP (7000)MS DS (445)MS RDP (3389)MS WINS (1512)MSN (1863)NNTP (119)NTP (123)NetBIOS-DGM (138)NetBIOS-NS (137)NetBIOS-SSN (139)OpenVPN (1194)POP3 (110)POP3/S (995)PPTP (1723)RADIUS (1812)RADIUS accounting (1813)RTP (5004)SIP (5060)SMTP (25)SMTP/S (465)SNMP (161)SNMP-Trap (162)SSH (22)STUN (3478)SUBMISSION (587)Teredo (3544)Telnet (23)TFTP (69)VNC (5900) To

Custom

Specify the source port or port range for this rule. This is usually random and almost never equal to the destination port range (and should usually be any). The "To" field may be left empty if only filtering a single port.

Destination

Destination

Invert match.

anySingle host or aliasNetworkThis firewall (self)PPPoE clientsL2TP clientsWAN netWAN addressLAN netLAN addressOVPN2 netOVPN2 address

/ 3231302928272625242322212019181716151413121110987654321

Destination port range

(other)anyCVSup (5999)DNS (53)FTP (21)HBCI (3000)HTTP (80)HTTPS (443)ICQ (5190)IDENT/AUTH (113)IMAP (143)IMAP/S (993)IPsec NAT-T (4500)ISAKMP (500)L2TP (1701)LDAP (389)MMS/TCP (1755)MMS/UDP (7000)MS DS (445)MS RDP (3389)MS WINS (1512)MSN (1863)NNTP (119)NTP (123)NetBIOS-DGM (138)NetBIOS-NS (137)NetBIOS-SSN (139)OpenVPN (1194)POP3 (110)POP3/S (995)PPTP (1723)RADIUS (1812)RADIUS accounting (1813)RTP (5004)SIP (5060)SMTP (25)SMTP/S (465)SNMP (161)SNMP-Trap (162)SSH (22)STUN (3478)SUBMISSION (587)Teredo (3544)Telnet (23)TFTP (69)VNC (5900) From

Custom

(other)anyCVSup (5999)DNS (53)FTP (21)HBCI (3000)HTTP (80)HTTPS (443)ICQ (5190)IDENT/AUTH (113)IMAP (143)IMAP/S (993)IPsec NAT-T (4500)ISAKMP (500)L2TP (1701)LDAP (389)MMS/TCP (1755)MMS/UDP (7000)MS DS (445)MS RDP (3389)MS WINS (1512)MSN (1863)NNTP (119)NTP (123)NetBIOS-DGM (138)NetBIOS-NS (137)NetBIOS-SSN (139)OpenVPN (1194)POP3 (110)POP3/S (995)PPTP (1723)RADIUS (1812)RADIUS accounting (1813)RTP (5004)SIP (5060)SMTP (25)SMTP/S (465)SNMP (161)SNMP-Trap (162)SSH (22)STUN (3478)SUBMISSION (587)Teredo (3544)Telnet (23)TFTP (69)VNC (5900) To

Custom

Specify the destination port or port range for this rule. The "To" field may be left empty if only filtering a single port.

Extra Options

И аналогично для OpenVPN (что собственно сделали на Сервере VPN )

Теперь пару нюансов

1 Если вы делаете Bridge на ESXi  - то у вас с настройками ESXi по умолчанию ничего. работать не будет. Решается просто в настойказ vSwitch надо просто включить во вкладке Security - Promiscous Mode ("смешанный" или "неразборчивый" режим) - Accept. 

2 Если у вас есть DHCP сервер, то на интерфейсе самого VPN (тунеля) надо закрыть 67 и 68 порты, что бы DHCP не пытался раздать там IP. Или в настройках самого DHCP прописать по MACам нужные.