Pfsense openvpn mikrotik
-
Добрый день, суть, не видна сеть за mikrotik.
Стою сниферами на канале между pfsense и mikrotik (смотрю только icmp), все пакеты адресованные не на сеть за микротиком ходят норм, если отправляю на сеть за микротик с pfsense они уходят, в микротик не приходят.NAT из сети за микротиком все ок. Трабла именно отсутствии пакетов с адресацией в сеть за микротиком.
-
@farmadelkin said in Pfsense openvpn mikrotik:
Добрый день, суть, не видна сеть за mikrotik.
Стою сниферами на канале между pfsense и mikrotik (смотрю только icmp), все пакеты адресованные не на сеть за микротиком ходят норм, если отправляю на сеть за микротик с pfsense они уходят, в микротик не приходят.NAT из сети за микротиком все ок. Трабла именно отсутствии пакетов с адресацией в сеть за микротиком.
Недавно обсуждалось
https://forum.netgate.com/topic/104225/openvpn-%D0%BD%D0%B5-%D0%BF%D1%83%D1%81%D0%BA%D0%B0%D0%B5%D1%82-%D0%B2-%D1%81%D0%B5%D1%82%D1%8C-%D0%BA%D0%BB%D0%B8%D0%B5%D0%BD%D1%82%D0%B0
@farmadelkin said in Pfsense openvpn mikrotik:
NAT из сети за микротиком все ок
NAT для этого вообще не нужен.
-
У меня вообще пашет ospf. Но таже проблема и без динамической маршрутизации.
Прописал route 10.41.24.0 255.255.255.0 для сервака и для клиента (точно такая же запись).
Common Name взял из подключения, вышло internal-ca.Уже пробовал и статик роут сделать, не помогает.
-
@farmadelkin said in Pfsense openvpn mikrotik:
Common Name взял из подключения, вышло internal-ca.
Куда вышло internal-ca? Если речь о Client Specific Overrides -
Common Name должен быть клиента. -
-
@farmadelkin
а если в customs options
прописать дословно push "route 1.3.1.0 255.255.255.0"; ?? именно со словом push и ";"
где 1.3.1.0 - сеть за PF
Не совсем понятна вот эта фраза
"Прописал route 10.41.24.0 255.255.255.0 для сервака и для клиента (точно такая же запись)"
что за сеть 10.41.24.0 - ?
В вашем случае - PF "знает" про сеть 1.2.1.0 , а микротик про 1.3.1.0 ? -
@pigbrother said in Pfsense openvpn mikrotik:
internal-ca
Еще раз спрошу.
internal-ca - это Common Name клиента? Уж больно похоже на Certificate Authoritiy .
Route в настройках сервера. 10.41.24.0 - это сеть за Микротиком?
Если да - есть ли упоминания об 10.41.24.0 в Client Specific Overrides для Common Nameэтого клиента? -
pigbrother да, это авторизация по ключу.
На скрине есть тип авторизации, может быть я какраз ошибся и нужно авторизоваться по логину и паролю.По поводу ип, на бумажке я скинул для примера.
Настоящая подсеть за микротиком 10.41.24.0/24 -
@farmadelkin Это понятно , что для примера
поясните фразу
"Прописал route 10.41.24.0 255.255.255.0 для сервака и для клиента (точно такая же запись)"
Вопрос прежний , по таблицам маршрутизации видно , что , к примеру, PF знает про сеть 10.41.24.0 /24 ?
а Микротик - про сеть за PF ?
И еще вопрос , для самоуспокоения, правила разрешающее на openvpn интерфейсе есть ? -
@farmadelkin said in Pfsense openvpn mikrotik:
pigbrother да, это авторизация по ключу.
Покажите скриншот
System-Certificate Manager-Certificates
и укажите там сертификат клиента Микротик.@pigbrother said in Pfsense openvpn mikrotik:
Если да - есть ли упоминания об 10.41.24.0 в Client Specific Overrides для Common Nameэтого клиента?
Покажите полный скриншот
VPN-OpenVPN-Client Specific Overrides
для клиента Микротик.Вы используете в сетях адресацию 1.3.1.0 /? и 1.2..1.0/?
Если так - это неправильно. -
@pigbrother Это сделано для примера
Думаю , что проблема в настройке маршрутизации
Для ТС
какой будет результат выполнения команды
netstat -r | grep 10.41.24 на pF ? -
Вот что прописано для клиента в VPNOpenVPNClient Specific Overrides
Да, адресация есть.
Вот стою снифером на микротике и пфсенсе, на канале между ними.
адресую c pfsense (10.11.17.1) на 10.41.24.1 - ip mikrotik в сети за микротиком.Стою там-же но адресую c pfsense (10.11.17.1) на ip (10.11.17.2) микротика в канале между пфсенс и микротик.
-
@konstanti said in Pfsense openvpn mikrotik:
netstat -r | grep 10.41.24
[2.4.3-RELEASE][admin@pfSense.localdomain]/root: netstat -r | grep 10.41.24
10.41.24.0/24 10.11.17.1 UGS lo0
[2.4.3-RELEASE][admin@pfSense.localdomain]/root: -
@farmadelkin said in Pfsense openvpn mikrotik:
Вот что прописано для клиента в VPNOpenVPNClient Specific Overrides
Должно быть
irouteГде скриншот
System-Certificate Manager-Certificates@konstanti said in Pfsense openvpn mikrotik:
Это сделано для примера
Хорошо, если так.
-
@farmadelkin
у вас PF ничего не знает про сеть 10.41.24.0 судя по выводу
попробуйте добавить строку
в настройке сервера
route 10.41.24.0 255.255.255.0 10.11.7.2 ( или тот адрес , который использует микротик)
в настройках клиента добавьте
route адрес сети за PF -
@farmadelkin said in Pfsense openvpn mikrotik:
10.41.24.0/24
Да был статический маршрут, все заработало, БОЛЬШОЕ СПС, обязательно напишу мануал с картинками.