Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    mikrotik+pfsense OpenVPN

    Scheduled Pinned Locked Moved Russian
    47 Posts 4 Posters 4.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      serj161
      last edited by

      что в таком случае делать?

      P 1 Reply Last reply Reply Quote 0
      • P
        pigbrother @serj161
        last edited by pigbrother

        @ilshat said in mikrotik+pfsense OpenVPN:

        что в таком случае делать?

        Поменять адресацию сетей. Либо заузить маску за pf до /24, либо перейти, например, на 10.х.х.x/24 за МТ.
        Как вариант - всем любителям использовать 192.168.0.0 я меняю ее на 10.168.0.0/24.
        Необходимости заполнения IPv4 Remote Network/s в Client Specific Overrides это, естественно, не отменяет.

        S 1 Reply Last reply Reply Quote 0
        • S
          serj161
          last edited by

          понял, спасибо.

          1 Reply Last reply Reply Quote 0
          • S
            serj161 @pigbrother
            last edited by

            @pigbrother сделал, результат тот же. трафик ходит только от микротика в сторону pfsense.

            P 1 Reply Last reply Reply Quote 0
            • P
              pigbrother @serj161
              last edited by

              @serj161 said in mikrotik+pfsense OpenVPN:

              трафик ходит только от микротика в сторону pfsense.

              Где-то ошибка. При правильной настройке все работает.

              1. Все ПК за микротиком имеют шлюзом МТ
              2. Client Specific Overrides настроены правильно (точно ли используется common name клиента МТ?
              3. Брандмауэры в сети за МТ отключены?
              4. Сеть за МТ должна упоминаться и в настройках сервера и в Client Specific Overrides

              Иногда требуется добавить повыше на PF устаревшее, но иногда нужное правило:
              v4 * LAN net * a.b.c.0/24 * * none
              a.b.c.0/24 - сеть за МТ

              S 1 Reply Last reply Reply Quote 0
              • S
                serj161 @pigbrother
                last edited by

                @pigbrother может у вас есть skype? очень нужно закончить этот проект

                P 1 Reply Last reply Reply Quote 0
                • P
                  pigbrother @serj161
                  last edited by

                  @serj161 said in mikrotik+pfsense OpenVPN:

                  @pigbrother может у вас есть skype? очень нужно закончить этот проект

                  Могу привести настройки сервера\МТ

                  S 1 Reply Last reply Reply Quote 0
                  • S
                    serj161 @pigbrother
                    last edited by

                    @pigbrother давайте

                    P 1 Reply Last reply Reply Quote 0
                    • P
                      pigbrother @serj161
                      last edited by

                      @serj161 said in mikrotik+pfsense OpenVPN:

                      @pigbrother давайте

                      Сервер
                      /var/etc/openvpn

                      dev ovpns4
                      verb 1
                      dev-type tun
                      tun-ipv6
                      dev-node /dev/tun4
                      writepid /var/run/openvpn_server4.pid
                      #user nobody
                      #group nobody
                      script-security 3
                      daemon
                      keepalive 10 60
                      ping-timer-rem
                      persist-tun
                      persist-key
                      proto tcp-server
                      cipher AES-256-CBC
                      auth SHA1
                      up /usr/local/sbin/ovpn-linkup
                      down /usr/local/sbin/ovpn-linkdown
                      local a.b.c.d
                      tls-server
                      server 10.11.12.0 255.255.255.0
                      client-config-dir /var/etc/openvpn-csc/server4
                      ifconfig 10.11.12.1 10.11.12.2
                      tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'ovpns2' 1"
                      lport xxx5
                      management /var/etc/openvpn/server4.sock unix
                      push "route 10.0.2.0 255.255.255.0"
                      ca /var/etc/openvpn/server4.ca 
                      cert /var/etc/openvpn/server4.cert 
                      key /var/etc/openvpn/server4.key 
                      dh /etc/dh-parameters.1024
                      crl-verify /var/etc/openvpn/server4.crl-verify 
                      persist-remote-ip
                      float
                      topology subnet
                      route 10.0.3.0 255.255.255.0
                      

                      Client Specific Overrides
                      /var/etc/openvpn-csc/server4/common name клиента за Микротик

                      iroute 10.0.3.0 255.255.255.0
                      

                      Микротик

                      /interface ovpn-client
                      add certificate=cert_name cipher=aes256 comment="OVPN to pfSense" connect-to=a.b.c.d name=\
                          ovpn-out1 password=pass port=xxx5 user=user
                      

                      a.b.c.d - Wan IP pfSense
                      xxx5 - Порт Open VPN сервера
                      10.0.2.0 - Сеть за pfSense
                      10.0.3.0 - сеть за Микротик
                      10.11.12.0 - сеть тунеля

                      Редактировать конфиги вручную не надо, привел просто для справки.

                      S 3 Replies Last reply Reply Quote 0
                      • S
                        serj161 @pigbrother
                        last edited by

                        @pigbrother спасибо, попробую

                        1 Reply Last reply Reply Quote 0
                        • S
                          serj161 @pigbrother
                          last edited by

                          @pigbrother видимо делаю что то не так. сеть за Микротик, в том числе и сам микротик недоступны

                          1 Reply Last reply Reply Quote 0
                          • S
                            serj161 @pigbrother
                            last edited by

                            @pigbrother еще немного поясню. Микротик сам выступает клиентом. сертификаты на него загружены, соединяется без проблем

                            P 1 Reply Last reply Reply Quote 0
                            • P
                              pigbrother @serj161
                              last edited by

                              @serj161 said in mikrotik+pfsense OpenVPN:

                              Микротик сам выступает клиентом. сертификаты на него загружены, соединяется без проблем

                              Это как бы было ясно с самого начала.
                              Строки, соответствующие моим
                              route 10.0.3.0 255.255.255.0
                              в настройках сервера
                              и
                              iroute 10.0.3.0 255.255.255.0
                              в Client Specific Overrides
                              в ваших конфигах есть?

                              S 1 Reply Last reply Reply Quote 0
                              • S
                                serj161 @pigbrother
                                last edited by

                                @pigbrother имеются

                                P 1 Reply Last reply Reply Quote 0
                                • P
                                  pigbrother @serj161
                                  last edited by

                                  @serj161
                                  Начиная с версии 6.41 (не уверен, это там где исчезло понятие master port) в RouterOS появились существенные изменения. Возможно - они требуют доп. усилий\правил при настройке Микротик.
                                  Я на эту(и) версии не переходил, поэтому это только предположения.

                                  1 Reply Last reply Reply Quote 0
                                  • T
                                    ToXaNSK
                                    last edited by ToXaNSK

                                    Наидобрейшего всем!
                                    Не хочу плодить новых тем, посему подниму эту.
                                    pfSense 2.3.4 p1 + mikrotik rb950G (6.40.8)
                                    Настраивал по http://qlr.ro/site-to-site-openvpn-between-pfsense-and-mikrotik/
                                    Если есть другие ссылки готов посмотреть.
                                    Естественно не работает.

                                    ping с pfSense до компьютеров за микротиком идет, при условии указания статического маршрута в отношении ovpn тунеля, (из примера БольшогоБрата) это 10.11.12.0/30 в ovpn-out1
                                    ping из сети за pfSense до компов за Микротиким нет, а если добавить статический маршрут типа 10.0.2.0/24 в ovpn-out1, (из примера БольшогоБрата), то будет работать.
                                    Ну и из-за микротика, в сторону pfSense ничего не пингуется, не ip pfSense не сеть за ним.

                                    @pigbrother said in mikrotik+pfsense OpenVPN:

                                    @serj161 said in mikrotik+pfsense OpenVPN:

                                    Микротик сам выступает клиентом. сертификаты на него загружены, соединяется без проблем

                                    Это как бы было ясно с самого начала.
                                    Строки, соответствующие моим
                                    route 10.0.3.0 255.255.255.0
                                    в настройках сервера
                                    и
                                    iroute 10.0.3.0 255.255.255.0
                                    в Client Specific Overrides
                                    в ваших конфигах есть?

                                    Это необходимо добавить в расширенных настройках?
                                    И что есть Common-Name!?

                                    Say what you mean, mean what you say. (Interstate 60)

                                    K 1 Reply Last reply Reply Quote 0
                                    • K
                                      Konstanti @ToXaNSK
                                      last edited by Konstanti

                                      @toxansk Доброго дня
                                      Проблема , скорее всего , в маршрутизации
                                      Если делали по инструкции , то настройки Peer to Peer ???
                                      Local network и Remote Network настроены ??
                                      Можете показать настройки сервера ?
                                      Судя по всему Микротик ничего не знает о сети за pfsense
                                      Можете показать таблицу маршрутизации Микротик ?

                                      T 1 Reply Last reply Reply Quote 0
                                      • T
                                        ToXaNSK @Konstanti
                                        last edited by

                                        @konstanti said in mikrotik+pfsense OpenVPN:

                                        @toxansk Доброго дня

                                        Если делали по инструкции , то настройки Peer to Peer ???

                                        Ссылку можно на инструкцию?
                                        Остально сейчас выложу.

                                        Say what you mean, mean what you say. (Interstate 60)

                                        K 1 Reply Last reply Reply Quote 0
                                        • K
                                          Konstanti @ToXaNSK
                                          last edited by Konstanti

                                          @toxansk Вы же сами ссылку указали в своем сообщении
                                          При правильной настройке в режиме Peer-to-Peer ,
                                          Маршрут к Local Network передается клиенту
                                          а маршрут к Remote Network записывается в таблицу маршрутизации PF
                                          Поэтому , мне и кажется , что Микротик и не знает про Local Network ничего

                                          T 1 Reply Last reply Reply Quote 0
                                          • T
                                            ToXaNSK @Konstanti
                                            last edited by ToXaNSK

                                            @konstanti
                                            обрадовался, что еще, что то есть.

                                            сеть pfSense 192.168.0.0/24
                                            MK 172.16.4.0/24
                                            Тунель 10.88.88.0/30

                                             0 ADS  dst-address=0.0.0.0/0 gateway=172.16.164.1 
                                                    gateway-status=172.16.164.1 reachable via  EOS distance=0 scope=30 
                                                    target-scope=10 vrf-interface=EOS 
                                            
                                             1 A S  dst-address=10.88.88.0/30 gateway=ovpn-home-to-office 
                                                    gateway-status=ovpn-home-to-office reachable distance=1 scope=30 
                                                    target-scope=10 
                                            
                                             2 ADC  dst-address=172.16.1.0/24 pref-src=172.16.1.254 gateway=LAN 
                                                    gateway-status=LAN reachable distance=0 scope=10 
                                            
                                             3   S  dst-address=172.16.2.0/24 gateway=Tula gateway-status=Tula unreachable 
                                                    distance=1 scope=30 target-scope=10 
                                            
                                             4 ADC  dst-address=172.16.3.0/24 pref-src=172.16.3.254 gateway=GUEST 
                                                    gateway-status=GUEST reachable distance=0 scope=10 
                                            
                                             5 ADC  dst-address=172.16.4.0/24 pref-src=172.16.4.254 gateway=OFFICE 
                                                    gateway-status=OFFICE reachable distance=0 scope=10 
                                            
                                             6  DS  dst-address=172.16.4.0/24 gateway=255.255.255.255 
                                                    gateway-status=255.255.255.255 reachable via  ovpn-home-to-office 
                                                    distance=1 scope=30 target-scope=10 
                                            
                                             7 ADC  dst-address=172.16.164.0/23 pref-src=172.16.165.85 gateway=EOS 
                                                    gateway-status=EOS reachable distance=0 scope=10 
                                            
                                             8 A S  dst-address=192.168.0.0/24 gateway=ovpn-home-to-office 
                                                    gateway-status=ovpn-home-to-office reachable distance=1 scope=30 
                                                    target-scope=10 
                                            
                                             9  DS  dst-address=192.168.0.0/24 gateway=255.255.255.255 
                                                    gateway-status=255.255.255.255 reachable via  ovpn-home-to-office 
                                                    distance=1 scope=30 target-scope=10 
                                            
                                            10 ADC  dst-address=255.255.255.255/32 pref-src=10.88.88.2 
                                                    gateway=ovpn-home-to-office 
                                                    gateway-status=ovpn-home-to-office reachable distance=0 scope=10
                                            

                                            Say what you mean, mean what you say. (Interstate 60)

                                            K 1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.