Маршрутизация в OpenVPN (SSL/TLS) P-t-P с mikrotik

malikov-pro

@PbIXTOP:

Что вы подразумеваете под этим? Есть маршрут - значит есть и виденье сети, то что пакет может где-то по дороге быть остановлен firewall'ом или асимметричной маршрутизацией — это уже совсем другие проблемы.
Пинговать сеть за клиентом не обязательно, чтобы проверить доступность сети — достаточно LAN интерфейс удаленного маршрутизатора.

Нет пинга LAN интерфейса клиентского подключения c сервера OVPN

На сервере
10.0.9.0/24 10.0.9.2 UGS 0 1500 ovpns3
10.0.9.1 link#9 UHS 0 16384 lo0
10.0.9.2 link#9 UH 3 1500 ovpns3
192.168.56.0/24 10.0.9.2 UGS 3 1500 ovpns3

LAN 192.168.151.1

на клиенте (сейчас pf)
10.0.9.0/24 10.0.9.1 UGS 0 1500 ovpnc1
10.0.9.1 link#7 UH 0 1500 ovpnc1
10.0.9.2 link#7 UHS 0 16384 lo0
192.168.151.0/24 10.0.9.1 UGS 0 1500 ovpnc1

LAN 192.168.56.10

в firewall для OVPN с обоих сторон IPv4* pass any

PING 192.168.151.1 (192.168.151.1): 56 data bytes
64 bytes from 192.168.151.1: icmp_seq=0 ttl=64 time=88.336 ms

PING 192.168.56.10 (192.168.56.10): 56 data bytes
–- 192.168.56.10 ping statistics ---
3 packets transmitted, 0 packets received, 100.0% packet loss

Логировал входящие пакеты микротиком (на клиенте), их просто нет.

из специфичного
1. настроены 2 канала IPSec, но подсети не пересекаются
2. настроены 2 RA сервера OVPN
2.1 для одного настроен проброс портов до FTP (клиент не умеет нормально маршрутизировать)

werter

Доброе.
Добавьте на в fw пф на ЛАН явное разреш. правило прохождения трафика из LAN subnet в удаленную сеть. Поставьте его выше всех.

malikov-pro

@werter:

Доброе.
Добавьте на в fw пф на ЛАН явное разреш. правило прохождения трафика из LAN subnet в удаленную сеть. Поставьте его выше всех.

Доброе утро.
Поставил на 192.168.151.1

• • • LAN Address 80 * * Anti-Lockout Rule
      IPv4 * LAN net * 192.168.56.10/24 * * none    
      IPv4 * LAN net * * * * none Default allow LAN to any rule    
      не помогло, для LAN и так разрешено все.

malikov-pro

Повторно провел эксперимент, перевел туннель на shared key, остальное ничего не трогал, пинг до LAN клиента появился.

pigbrother

Микротик не умеет работать с shared key.

Если интересно - приведу настройки Микротиков, работающие с pfSense.

malikov-pro

@pigbrother:

Микротик не умеет работать с shared key.

Если интересно - приведу настройки Микротиков, работающие с pfSense.

1. запустил pf+mikrotik (ssl) канал поднялся, ping до LAN клиента нет
2. запустил pf+pf (ssl) канал поднялся, ping до LAN клиента нет
3. запустил pf+pf (key) канал поднялся, ping до LAN клиента есть

есть подозрения в баге при работе pf PtP c SSL, пока не могу понять где посмотреть ошибку (в логах все чисто)

если есть настройка IPSec с быстрым восстановлением канала (сейчас паузы разрыва сек 5-10, пользователями RDP ощущаются) буду благодарен.

pigbrother

А вы не забываете про iroute (IPv4 Remote Network/s) в Client Specific Overrides?

настроены 2 канала IPSec, но подсети не пересекаются
эти 2 канала IPSec в другие сети, не те, между которыми пытаетесь организовать OVPN?

malikov-pro

@pigbrother:

А вы не забываете про iroute (IPv4 Remote Network/s) в Client Specific Overrides?

настроены 2 канала IPSec, но подсети не пересекаются
эти 2 канала IPSec в другие сети, не те, между которыми пытаетесь организовать OVPN?

Из документации по OVPN:
–iroute network [netmask]
This directive can be used to route a fixed subnet from the server to a particular client
Зачем она нужна если на сервере стоит PtP и указана remote network?
Таблицу маршрутизации выше показывал.

IPSec на сети 192.168.1.0/24 и 192.168.89.0/24

вариант проверить на свежеустановленном pf с микротиком (возможно перекосило после обновления).

pigbrother

1. запустил pf+mikrotik (ssl) канал поднялся, ping до LAN клиента нет
Для доступа к сети клиента из сети за сервером и нужен  iroute или  IPv4 Remote Network/s в Client Specific Overrides.

Зачем она нужна если на сервере стоит PtP и указана remote network?
PtP - это peer-to-peer?
Этого недостаточно. Без iroute доступа за клиент не будет.

Цитата:
IPv4 Local Network:
These are the IPv4 networks that will be routed to this client specifically using iroute, so that a site-to-site VPN can be established. Expressed as a comma-separated list of one or more CIDR ranges. May be left blank if there are no client-side networks to be routed.
NOTE: Remember to add these subnets to the IPv4 Remote Networks list on the corresponding OpenVPN server settings.

malikov-pro

@pigbrother:

Для доступа к сети клиента из сети за сервером и нужен  iroute или  IPv4 Remote Network/s в Client Specific Overrides.

Разобрался

Remote network(s) в настройках сервера определяет какие сети могут быть за этим OVPN, соответствует команде route
Remote network(s) в Client Specific Overrides определяет какая сеть доступна за этим коннектом, соответствует команде iroute

немного сбивает информация в Diagnostics / Routes
192.168.56.0/24 10.0.9.2 UGS 3 1500 ovpns3
192.168.88.0/24 10.0.9.2 UGS 3 1500 ovpns3

хотя по факту 192.168.56.0/24 роутится на 10.0.9.3

Благодарю за помощь.