mikrotik+pfsense OpenVPN
-
@ilshat said in mikrotik+pfsense OpenVPN:
192.168.0.0/16 - сеть за pf
192.168.1.0/24 - сеть за mikСеть за pf c маской /16 перекрывает сеть за МТ. Для роутинга это неприемлемо.
Если бы обе стети были /24, в IPv4 Remote Network/s надо было бы писать 192.168.1.0/24 -
что в таком случае делать?
-
@ilshat said in mikrotik+pfsense OpenVPN:
что в таком случае делать?
Поменять адресацию сетей. Либо заузить маску за pf до /24, либо перейти, например, на 10.х.х.x/24 за МТ.
Как вариант - всем любителям использовать 192.168.0.0 я меняю ее на 10.168.0.0/24.
Необходимости заполнения IPv4 Remote Network/s в Client Specific Overrides это, естественно, не отменяет. -
понял, спасибо.
-
@pigbrother сделал, результат тот же. трафик ходит только от микротика в сторону pfsense.
-
@serj161 said in mikrotik+pfsense OpenVPN:
трафик ходит только от микротика в сторону pfsense.
Где-то ошибка. При правильной настройке все работает.
- Все ПК за микротиком имеют шлюзом МТ
- Client Specific Overrides настроены правильно (точно ли используется common name клиента МТ?
- Брандмауэры в сети за МТ отключены?
- Сеть за МТ должна упоминаться и в настройках сервера и в Client Specific Overrides
Иногда требуется добавить повыше на PF устаревшее, но иногда нужное правило:
v4 * LAN net * a.b.c.0/24 * * none
a.b.c.0/24 - сеть за МТ -
@pigbrother может у вас есть skype? очень нужно закончить этот проект
-
@serj161 said in mikrotik+pfsense OpenVPN:
@pigbrother может у вас есть skype? очень нужно закончить этот проект
Могу привести настройки сервера\МТ
-
@pigbrother давайте
-
@serj161 said in mikrotik+pfsense OpenVPN:
@pigbrother давайте
Сервер
/var/etc/openvpndev ovpns4 verb 1 dev-type tun tun-ipv6 dev-node /dev/tun4 writepid /var/run/openvpn_server4.pid #user nobody #group nobody script-security 3 daemon keepalive 10 60 ping-timer-rem persist-tun persist-key proto tcp-server cipher AES-256-CBC auth SHA1 up /usr/local/sbin/ovpn-linkup down /usr/local/sbin/ovpn-linkdown local a.b.c.d tls-server server 10.11.12.0 255.255.255.0 client-config-dir /var/etc/openvpn-csc/server4 ifconfig 10.11.12.1 10.11.12.2 tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'ovpns2' 1" lport xxx5 management /var/etc/openvpn/server4.sock unix push "route 10.0.2.0 255.255.255.0" ca /var/etc/openvpn/server4.ca cert /var/etc/openvpn/server4.cert key /var/etc/openvpn/server4.key dh /etc/dh-parameters.1024 crl-verify /var/etc/openvpn/server4.crl-verify persist-remote-ip float topology subnet route 10.0.3.0 255.255.255.0
Client Specific Overrides
/var/etc/openvpn-csc/server4/common name клиента за Микротикiroute 10.0.3.0 255.255.255.0
Микротик
/interface ovpn-client add certificate=cert_name cipher=aes256 comment="OVPN to pfSense" connect-to=a.b.c.d name=\ ovpn-out1 password=pass port=xxx5 user=user
a.b.c.d - Wan IP pfSense
xxx5 - Порт Open VPN сервера
10.0.2.0 - Сеть за pfSense
10.0.3.0 - сеть за Микротик
10.11.12.0 - сеть тунеляРедактировать конфиги вручную не надо, привел просто для справки.
-
@pigbrother спасибо, попробую
-
@pigbrother видимо делаю что то не так. сеть за Микротик, в том числе и сам микротик недоступны
-
@pigbrother еще немного поясню. Микротик сам выступает клиентом. сертификаты на него загружены, соединяется без проблем
-
@serj161 said in mikrotik+pfsense OpenVPN:
Микротик сам выступает клиентом. сертификаты на него загружены, соединяется без проблем
Это как бы было ясно с самого начала.
Строки, соответствующие моим
route 10.0.3.0 255.255.255.0
в настройках сервера
и
iroute 10.0.3.0 255.255.255.0
в Client Specific Overrides
в ваших конфигах есть? -
@pigbrother имеются
-
@serj161
Начиная с версии 6.41 (не уверен, это там где исчезло понятие master port) в RouterOS появились существенные изменения. Возможно - они требуют доп. усилий\правил при настройке Микротик.
Я на эту(и) версии не переходил, поэтому это только предположения. -
Наидобрейшего всем!
Не хочу плодить новых тем, посему подниму эту.
pfSense 2.3.4 p1 + mikrotik rb950G (6.40.8)
Настраивал по http://qlr.ro/site-to-site-openvpn-between-pfsense-and-mikrotik/
Если есть другие ссылки готов посмотреть.
Естественно не работает.ping с pfSense до компьютеров за микротиком идет, при условии указания статического маршрута в отношении ovpn тунеля, (из примера БольшогоБрата) это 10.11.12.0/30 в ovpn-out1
ping из сети за pfSense до компов за Микротиким нет, а если добавить статический маршрут типа 10.0.2.0/24 в ovpn-out1, (из примера БольшогоБрата), то будет работать.
Ну и из-за микротика, в сторону pfSense ничего не пингуется, не ip pfSense не сеть за ним.@pigbrother said in mikrotik+pfsense OpenVPN:
@serj161 said in mikrotik+pfsense OpenVPN:
Микротик сам выступает клиентом. сертификаты на него загружены, соединяется без проблем
Это как бы было ясно с самого начала.
Строки, соответствующие моим
route 10.0.3.0 255.255.255.0
в настройках сервера
и
iroute 10.0.3.0 255.255.255.0
в Client Specific Overrides
в ваших конфигах есть?Это необходимо добавить в расширенных настройках?
И что есть Common-Name!? -
@toxansk Доброго дня
Проблема , скорее всего , в маршрутизации
Если делали по инструкции , то настройки Peer to Peer ???
Local network и Remote Network настроены ??
Можете показать настройки сервера ?
Судя по всему Микротик ничего не знает о сети за pfsense
Можете показать таблицу маршрутизации Микротик ? -
@konstanti said in mikrotik+pfsense OpenVPN:
@toxansk Доброго дня
Если делали по инструкции , то настройки Peer to Peer ???
Ссылку можно на инструкцию?
Остально сейчас выложу. -
@toxansk Вы же сами ссылку указали в своем сообщении
При правильной настройке в режиме Peer-to-Peer ,
Маршрут к Local Network передается клиенту
а маршрут к Remote Network записывается в таблицу маршрутизации PF
Поэтому , мне и кажется , что Микротик и не знает про Local Network ничего