OpenVPN+tap маршрутизация
-
Добрый день.
Который день бьюсь над проблемой.
У меня есть микротик, который не умеет tun, который не умеет UDP.
Обычно у меня филиалы работают на tun + udp + сертификаты, поднятые на одном из компов.
А тут надо отказаться от обычного клиента на компе и поднять на микротике.
Для этого я настройил второй опенвпн-сервер
В сервере в настройках в разделе Custom Options
прописано правило: route 192.168.7.0 255.255.255.0;
Но в маршруты pfSense это правило не попадает автоматически.
Если поменять на tun - то микротик уже не может соединиться, но правило появляется.
Итак, сегодня из филиала все наши внутренние ресурсы доступны, но если я попробую из офиса отправить пинг на локальный комп филиала - то он, предсказуемо, не доходит.
Я пытался добавить интерфейс, гейтвэй и маршрут вручную на пфсенс, но почему-то не взлетело.
Может кто-то поделится опытом или подскажет, куда копать? -
Речь о TUN? В терминологии Микротик - IP.
Я пытался добавить интерфейс, гейтвэй и маршрут вручную на пфсенс, но почему-то не взлетело.
Этого делать не нужно.
Может кто-то поделится опытом или подскажет, куда копать?
Для клиента Микротика на pfSense создан Client Specific Overrides с директивой iroute? -
2 oleg1969
Доброе.
Настал ваш час. Выручайте, гуру МТ. -
Речь о TUN? В терминологии Микротик - IP.
Я пытался добавить интерфейс, гейтвэй и маршрут вручную на пфсенс, но почему-то не взлетело.
Этого делать не нужно.
Может кто-то поделится опытом или подскажет, куда копать?
Для клиента Микротика на pfSense создан Client Specific Overrides с директивой iroute?Создан. У меня есть 19 филиалов, которые умеют TUN. Микротик не умеет TUN. Когда поднимаешь сервер TAP на другом порту - он не делает добавление настроек в маршруты
-
Я, конечно, не гуру, но попробую:
TUN. Микротик не умеет TUN
Микротик не умеет UDP.
TUN микротик умеет, в терминах Микротик это IP
Вот работающие настойки с одного из Микротиков моих филиалов:
0 R name="ovpn-out1" mac-address=хх:хх:хх:хх:хх:хх max-mtu=1500 connect-to=1.2.2.2 port=хххх mode=ip user="dummy" password="dummy" profile=default
certificate=cert.crt_0 auth=sha1 cipher=aes256 add-default-route=noВот конфиг работающего с Микротиками сервера:```
dev ovpns4
verb 1
dev-type tun
tun-ipv6
dev-node /dev/tun4
writepid /var/run/openvpn_server4.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto tcp-server
cipher AES-256-CBC
auth SHA1
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 1.2.2.2
tls-server
server 10.11.12.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc/server4
ifconfig 10.11.12.1 10.11.12.2
tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'ovpns2' 1"
lport хххх
management /var/etc/openvpn/server4.sock unix
push "route 10.0.2.0 255.255.255.0"
ca /var/etc/openvpn/server4.ca
cert /var/etc/openvpn/server4.cert
key /var/etc/openvpn/server4.key
dh /etc/dh-parameters.1024
persist-remote-ip
float
topology net30_Когда поднимаешь сервер TAP на другом порту - он не делает добавление настроек в маршруты_ TAP и не должен добавлять маршуруты - это L2, TUN - это L3, и в нем маршруты добавляются и работают. Есть также тонкость, если Микротику нужно передать маршрут в другую (не в LAN за pfSense) сеть, но это не ваш случай
-
Спасибо, ув. pigbrother.
Есть также тонкость, если Микротику нужно передать маршрут в другую (не в LAN за pfSense) сеть, но это не ваш случай
Можно ли подробнее ?
-
Спасибо, ув. pigbrother.
Есть также тонкость, если Микротику нужно передать маршрут в другую (не в LAN за pfSense) сеть, но это не ваш случай
Можно ли подробнее ?
Можно.
Если мы хотим передать клиенту OVPN Микротика маршрут в другую (не в LAN за pfSense) сеть через push route то это будет выглядеть так:
push route "х.х.2.0 255.255.255.0 y.y.y.1"
где
х.х.2.0 - нужная сеть
y.y.y.1 - " IP "серверного" конца туннеля между Микротик и pfSense."Другая" сеть может быть через еще один экземпляр OVPN-сервера\IPSEC\вероятно-любой, маршрут к которой есть у pfSense.
Естественно, директивы route в нужные сети для экземпляра сервера Микротик<->pfSense - обязательны. -
Спасибо )