OpenVPN Pfsense и Mikrotik

smithsky

Спасибо за помощь…бекапы есть, переживать не стоит
Тот что мертвый ipptunnel, это маршрут для ipsec в тот же Pf, я его отключил что бы не было накладок
Настроил как посоветовали, дублированный маршрут исчез, но результат пока тот же((

Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
0 ADS  dst-address=0.0.0.0/0 gateway=pppoe-out1
        gateway-status=pppoe-out1 reachable distance=0 scope=30 target-scope=10

1 ADC  dst-address=10.0.8.0/24 pref-src=10.0.8.2 gateway=ovpn-out1
        gateway-status=ovpn-out1 reachable distance=0 scope=10

2 ADC  dst-address=10.100.100.101/32 pref-src=bbbbbbbbbb gateway=pppoe-out1
        gateway-status=pppoe-out1 reachable distance=0 scope=10

3 A S  dst-address=192.168.1.0/24 gateway=ipip-tunnel2
        gateway-status=ipip-tunnel2 reachable check-gateway=ping distance=1
        scope=30 target-scope=10

4 ADS  dst-address=192.168.6.0/24 gateway=10.0.8.1
        gateway-status=10.0.8.1 reachable via  ovpn-out1 distance=1 scope=30
        target-scope=10

5  S  dst-address=192.168.6.0/24 gateway=ipip-tunnel1
        gateway-status=ipip-tunnel1 unreachable check-gateway=ping distance=1
        scope=30 target-scope=10

pigbrother

В Сlient Specific Overrides сервер выбран правильно?
Common name пользователя указано правильно?
Common name смотреть в сертификатах, регистр букв важен.
Недействующий маршрут в Микротике отключите не удаляя.

Туннель поднимается без ошибок? "Золотой стандарт" -  AES\SHA1.

Ну и до кучи. Добавьте на LAN повыше правило

IPv4 * LAN net * 192.168.88.0/24 * * none

Без него иногда доступа к сетям нет.

smithsky

Проверил и даже ради интереса подставлял другие действующие сертификаты, сервер указан верно, правило добавил, шифрование поменял, хотя этим я ранее игрался….результат пока тот же
Как проверить подключение с ошибками или без, то что в логах микротика ничего особого не видно, кроме не которых записей

21:52:29 ovpn,info ovpn-out1: initializing...
21:52:29 ovpn,info ovpn-out1: connecting...
21:52:29 system,info device changed by admin
21:52:29 ovpn,debug,packet sent P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 sid=4d33acfc8361e7e4 pid=0 DAT
A len=0
21:52:29 ovpn,debug,packet rcvd P_CONTROL_HARD_RESET_SERVER_V2 kid=0 sid=4afbfc5a24ee8a3e [0 sid=4d
33acfc8361e7e4] pid=0 DATA len=0
21:52:29 ovpn,debug,packet sent P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 sid=4d33acfc8361e7e4 [0 sid=4a
fbfc5a24ee8a3e] pid=1 DATA len=0
21:52:29 ovpn,debug,packet sent P_CONTROL kid=0 sid=4d33acfc8361e7e4 pid=2 DATA len=283
21:52:29 ovpn,debug,packet rcvd P_ACK kid=0 sid=4afbfc5a24ee8a3e [1 sid=4d33acfc8361e7e4] DATA len=
DATA len=
0
21:52:29 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=4afbfc5a24ee8a3e [4 sid=4d33acfc8361e7e4] pid=4
DATA len=51
21:52:29 ovpn,debug,packet sent P_ACK kid=0 sid=4d33acfc8361e7e4 [4 sid=4afbfc5a24ee8a3e] DATA len=
0
21:52:29 ovpn,debug,packet sent P_CONTROL kid=0 sid=4d33acfc8361e7e4 pid=5 DATA len=297
21:52:29 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=4afbfc5a24ee8a3e [5 sid=4d33acfc8361e7e4] pid=5
DATA len=233
21:52:29 ovpn,debug,packet sent P_ACK kid=0 sid=4d33acfc8361e7e4 [5 sid=4afbfc5a24ee8a3e] DATA len=
0
21:52:29 ovpn,info ovpn-out1: using encoding - AES-128-CBC/SHA1
21:52:29 ovpn,debug,packet sent P_ACK kid=0 sid=4d33acfc8361e7e4 DATA len=0
21:52:29 ovpn,debug,packet sent P_CONTROL kid=0 sid=4d33acfc8361e7e4 pid=6 DATA len=42
21:52:30 ovpn,debug,packet rcvd P_ACK kid=0 sid=4afbfc5a24ee8a3e [6 sid=4d33acfc8361e7e4] DATA len=
0
21:52:30 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=4afbfc5a24ee8a3e pid=6 DATA len=167
21:52:30 ovpn,debug,packet sent P_ACK kid=0 sid=4d33acfc8361e7e4 [6 sid=4afbfc5a24ee8a3e] DATA len=
0
21:52:30 ovpn,info ovpn-out1: connected

pigbrother

Логи смотреть лучше со стороны pfSense

Status-System Logs-OpenVPN.

Вот вам рабочие конфиги сервера и клиента. Меняйте свои настройки в GUI и смотрите результат тут:

Diagnostics->Edit File.
Редактировать и сохранять настойки тут нельзя , все делается через GUI.

сервер

/var/etc/openvpn/server4.conf

dev ovpns4
verb 1
dev-type tun
tun-ipv6
dev-node /dev/tun4
writepid /var/run/openvpn_server4.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto tcp-server
cipher AES-256-CBC
auth SHA1
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 1.1.1.1
tls-server
server 10.11.12.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc/server4
ifconfig 10.11.12.1 10.11.12.2
tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'ovpns2' 1"
lport 1195
management /var/etc/openvpn/server4.sock unix
push "route 10.0.2.0 255.255.255.0"
ca /var/etc/openvpn/server4.ca 
cert /var/etc/openvpn/server4.cert 
key /var/etc/openvpn/server4.key 
dh /etc/dh-parameters.1024
crl-verify /var/etc/openvpn/server4.crl-verify 
persist-remote-ip
float
topology subnet
route 10.0.3.0 255.255.255.0

Сlient Specific Override

/var/etc/openvpn-csc/server4*client*

iroute 10.0.3.0 255.255.255.0

Где:
10.0.2.0 - LAN за pfSense
10.0.3.0 - LAN за Микротик
10.11.12.0 - Сеть туннеля
client - Common Name клиента, как он виден в  System-Certificate Manager-Certificates.
1.1.1.1 - IP pfSense

На Микротике:

/interface ovpn-client
add certificate=client-cert cipher=aes256 comment="OVPN" connect-to=1.1.1.1 mac-address=xx:xx:xx:xx:xx:xx name=
    ovpn-out1 password=pass port=1195 user=user

Маршруты\правила*профили* на Микротике вручную создавать не надо.
Сертификат и ключ клиента в Микротик импортированы правильно?
Напротив сертификата в Winbox  должны быть буквы KT

smithsky

Собственно мои конфиги, ничего такого не увидел в различии

/var/etc/openvpn/server2.conf
–--------------
dev ovpns2
verb 1
dev-type tun
dev-node /dev/tun2
writepid /var/run/openvpn_server2.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto tcp-server
cipher AES-128-CBC
auth SHA1
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 11.111.11.11
tls-server
server 10.0.8.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc/server2
ifconfig 10.0.8.1 10.0.8.2
tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'vpn4' 1"
lport 1194
management /var/etc/openvpn/server2.sock unix
max-clients 2
push "route 192.168.6.0 255.255.255.0"
route 192.168.88.0 255.255.255.0
ca /var/etc/openvpn/server2.ca
cert /var/etc/openvpn/server2.cert
key /var/etc/openvpn/server2.key
dh /etc/dh-parameters.1024
topology subnet

/var/etc/openvpn-csc/server2/vpn5

iroute 192.168.88.0 255.255.255.0

Сертификаты импортированы правильно, да и вряд ли подключение было бы, без их правильности)
Может копать в другом направлении? Не могу понять как так получается, что с микротика я пингую любые хосты за Pf, но зайти к примеру по RDP не могу?

pigbrother

В    Firewall-Rules-OpenVPN
есть такое правило?
IPv4 * * * * * * none Pv4 * * * * * * none

На машинах, куда хотите по RDP брандмауэры отключать пробовали?

Пробуйте сменить порт 1194 на что-либо нестандартное.

smithsky

Да, на Микротике вообще отключал Firewall, порт щас поменял на 1197 и правило это есть

pigbrother

@smithsky:

Да, на Микротике вообще отключал Firewall, порт щас поменял на 1197 и правило это есть

Я про встроенный брандмауэр Windows.
Ну и последнее - у ПК  Микротик и pfSense - шлюзы по умолчанию?

smithsky

В виндовс отключен, были мысли по этому поводу
По умолчанию, что имеется ввиду?

pigbrother

@smithsky:

В виндовс отключен, были мысли по этому поводу
По умолчанию, что имеется ввиду?

Что pfSense и Микротик - defaultt gateway каждый в своей сети.

smithsky

Все по умолчанию, перепроверил на всякий

pigbrother

Чтож. Мне предложить вам больше нечего. Есть что-то, что мешает.
Осталось версию  Router OS… ;)

smithsky

Возможно, стоит v.6.40.3

pigbrother

У меня более старые.
Работает - не трожь.

А что говорит трассировка с ПК из сети за Микротиком?
Где теряются пакеты? Уходят к провайдеру?

Вот пример для  удаленной сети из примеров выше:

1    <1 мс    <1 мс    <1 мс  10.0.3.111
2    5 ms    4 ms    3 ms  10.11.12.1
3    3 ms    3 ms    3 ms  10.0.2.5

smithsky

Ничего, только до шлюза Pf и все

smithsky

Если пинговать и делать трасеровку (Source addres: OpenVPN) из морды Pf, то сетка за микротиком пингуется, а вот с ПК за Pf видать только шлюз Pf и вот теперь как это понимать))?

pigbrother

profile=openvpn

Попробуйте вместо  openvpn выбрать default, либо удалите в  profile=openvpn любые настройки.

Если пинговать и делать трасеровку (Source addres: OpenVPN) из морды Pf, то сетка за микротиком пингуется, а вот с ПК за Pf видать только шлюз Pf и вот теперь как это понимать))?

Это заставляет предположить, что с маршрутами на все хорошо.

smithsky

Профиль убрал, хоть он и был как по дефолту
С маршрутами и со стороны Pf по мне так кажется