Pfsense openvpn mikrotik

pigbrother

@farmadelkin said in Pfsense openvpn mikrotik:

Добрый день, суть, не видна сеть за mikrotik.
Стою сниферами на канале между pfsense и mikrotik (смотрю только icmp), все пакеты адресованные не на сеть за микротиком ходят норм, если отправляю на сеть за микротик с pfsense они уходят, в микротик не приходят.

NAT из сети за микротиком все ок. Трабла именно отсутствии пакетов с адресацией в сеть за микротиком.

Недавно обсуждалось

https://forum.netgate.com/topic/104225/openvpn-%D0%BD%D0%B5-%D0%BF%D1%83%D1%81%D0%BA%D0%B0%D0%B5%D1%82-%D0%B2-%D1%81%D0%B5%D1%82%D1%8C-%D0%BA%D0%BB%D0%B8%D0%B5%D0%BD%D1%82%D0%B0

@farmadelkin said in Pfsense openvpn mikrotik:

NAT из сети за микротиком все ок

NAT для этого вообще не нужен.

farmadelkin

У меня вообще пашет ospf. Но таже проблема и без динамической маршрутизации.
Прописал route 10.41.24.0 255.255.255.0 для сервака и для клиента (точно такая же запись).
Common Name взял из подключения, вышло internal-ca.

Уже пробовал и статик роут сделать, не помогает.

pigbrother

@farmadelkin said in Pfsense openvpn mikrotik:

Common Name взял из подключения, вышло internal-ca.

Куда вышло internal-ca? Если речь о Client Specific Overrides -
Common Name должен быть клиента.

farmadelkin

Konstanti

@farmadelkin
а если в customs options
прописать дословно push "route 1.3.1.0 255.255.255.0"; ?? именно со словом push и ";"
где 1.3.1.0 - сеть за PF
Не совсем понятна вот эта фраза
"Прописал route 10.41.24.0 255.255.255.0 для сервака и для клиента (точно такая же запись)"
что за сеть 10.41.24.0 - ?
В вашем случае - PF "знает" про сеть 1.2.1.0 , а микротик про 1.3.1.0 ?

pigbrother

@pigbrother said in Pfsense openvpn mikrotik:

internal-ca

Еще раз спрошу.
internal-ca - это Common Name клиента? Уж больно похоже на Certificate Authoritiy .
Route в настройках сервера. 10.41.24.0 - это сеть за Микротиком?
Если да - есть ли упоминания об 10.41.24.0 в Client Specific Overrides для Common Nameэтого клиента?

farmadelkin

pigbrother да, это авторизация по ключу.
На скрине есть тип авторизации, может быть я какраз ошибся и нужно авторизоваться по логину и паролю.

По поводу ип, на бумажке я скинул для примера.
Настоящая подсеть за микротиком 10.41.24.0/24

Konstanti

@farmadelkin Это понятно , что для примера
поясните фразу
"Прописал route 10.41.24.0 255.255.255.0 для сервака и для клиента (точно такая же запись)"
Вопрос прежний , по таблицам маршрутизации видно , что , к примеру, PF знает про сеть 10.41.24.0 /24 ?
а Микротик - про сеть за PF ?
И еще вопрос , для самоуспокоения, правила разрешающее на openvpn интерфейсе есть ?

pigbrother

@farmadelkin said in Pfsense openvpn mikrotik:

pigbrother да, это авторизация по ключу.

Покажите скриншот
System-Certificate Manager-Certificates
и укажите там сертификат клиента Микротик.

@pigbrother said in Pfsense openvpn mikrotik:

Если да - есть ли упоминания об 10.41.24.0 в Client Specific Overrides для Common Nameэтого клиента?

Покажите полный скриншот
VPN-OpenVPN-Client Specific Overrides
для клиента Микротик.

Вы используете в сетях адресацию 1.3.1.0 /? и 1.2..1.0/?
Если так - это неправильно.

Konstanti

@pigbrother Это сделано для примера
Думаю , что проблема в настройке маршрутизации
Для ТС
какой будет результат выполнения команды
netstat -r | grep 10.41.24 на pF ?

farmadelkin

Вот что прописано для клиента в VPNOpenVPNClient Specific Overrides

Да, адресация есть.

Вот стою снифером на микротике и пфсенсе, на канале между ними.
адресую c pfsense (10.11.17.1) на 10.41.24.1 - ip mikrotik в сети за микротиком.

Стою там-же но адресую c pfsense (10.11.17.1) на ip (10.11.17.2) микротика в канале между пфсенс и микротик.

farmadelkin

@konstanti said in Pfsense openvpn mikrotik:

netstat -r | grep 10.41.24

[2.4.3-RELEASE][admin@pfSense.localdomain]/root: netstat -r | grep 10.41.24
10.41.24.0/24 10.11.17.1 UGS lo0
[2.4.3-RELEASE][admin@pfSense.localdomain]/root:

pigbrother

@farmadelkin said in Pfsense openvpn mikrotik:

Вот что прописано для клиента в VPNOpenVPNClient Specific Overrides

Должно быть
iroute

Где скриншот
System-Certificate Manager-Certificates

@konstanti said in Pfsense openvpn mikrotik:

Это сделано для примера

Хорошо, если так.

Konstanti

@farmadelkin
у вас PF ничего не знает про сеть 10.41.24.0 судя по выводу
попробуйте добавить строку
в настройке сервера
route 10.41.24.0 255.255.255.0 10.11.7.2 ( или тот адрес , который использует микротик)
в настройках клиента добавьте
route адрес сети за PF

farmadelkin

@farmadelkin said in Pfsense openvpn mikrotik:

10.41.24.0/24

Да был статический маршрут, все заработало, БОЛЬШОЕ СПС, обязательно напишу мануал с картинками.