Pfsense 2.4.4 openvpn mikrotik v6.43.2

worldfirst

Добрый день!
Точно такая же связка c AES-256 и SHA1 после обновления работает без нареканий. Это к тому, что каких-либо серьезных изменений, влияющих на хождение пакетов, не было.

werter

Доброго.

Читайте логи. На обоих концах туннеля. Всегда ищите и читайте логи. В любых случаях. Не надо гадать.

Konstanti

@logdog Проверьте на обоих концах туннеля , знают ли маршрутизаторы о сетях за туннелем . Недавно была такая же тема , с похожими симптомами

pigbrother

Да. Появляется на Микротике маршрут в сеть за pfSense? Если вдруг нет - добавьте его (временно) вручную.

logdog

@konstanti да, я видел эту тему.. но там была версия 2.4.3 и главное peer-to-peer, а у меня, микротик в роли клиента

Просто странно, что больше полугода работало все, столько версий пережила (и микротик и пфсенс обновлялся)

@pigbrother сейчас сяду, буду проверять.

Konstanti

@logdog Дело не в версии
а в том , что могли настройки со стороны PFsense слелеть
в той теме - не peer to peer
а именно site to site
В теме , на которую я ссылался ,я писал команду , как проверить , есть ли маршрут к сети за Microtic
С нее и начните
Если маршрута нет, то его просто надо прописать
И так же проверить таблицу маршрутизации Микротика
Получает ли он маршрут от сервера ?

logdog

@konstanti

в той теме - не peer to peer
а именно site to site

https://forum.netgate.com/topic/136306/pfsense-openvpn-mikrotik/3
тут у человека peer to peer

В общем, сейчас выложу свои скрины... нужна помощь

Konstanti

@logdog И , если можно
сразу таблицы маршрутизации обоих маршрутизаторов

logdog

Сеть за pfsense 10.0.0.0/24
pfsense 10.0.0.254
inet
mikrotik 10.2.0.254
Сеть за микротиком 10.2.0.0/24

Servers
!

Клиент

Роутинг pf

Роутинг микротик
[admin@MikroTik] > /ip route print detail
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
0 ADS dst-address=0.0.0.0/0 gateway=инет gateway-status=инет reachable via ether1 distance=1 scope=30 target-scope=10 vrf-interface=ether1

1 ADC dst-address=10.2.0.0/24 pref-src=10.2.0.254 gateway=bridge gateway-status=bridge reachable distance=0 scope=10

2 ADC dst-address=инет/24 pref-src=инет gateway=ether1 gateway-status=ether1 reachable distance=0 scope=10

ЗЫ На сервере и на клиенте, route и iroute в версии 2.4.3 у меня не были прописаны.

Konstanti

@logdog Может я и ошибаюсь
но я бы клиенту Микротику передавал бы
на 10.0.0.0/24 передавал бы роутер 10.0.10.1 (у Вас почему-то указан 10.2.0.254)
а на PFSense
указал бы что для 10.2.0.0/ 24 маршрутизатор 10.0.10.8
если не сложно
покажите вывод команды на PF
netstat -r | grep 10.2.0.

logdog

на Servers
push "route 10.0.0.0 255.255.255.0 10.0.10.1";
на Client Specific Overrides
ifconfig-push 10.0.10.8 255.255.255.0;
iroute 10.2.0.0 255.255.255.0 10.0.10.8;

Так?

Вывода нету
/root: netstat -r | grep 10.2.0.0
/root:

Konstanti

@logdog
Так трудно понять
Если не сложно , покажите пож вывод команды
netstat -r | grep 10.2.0. на pfsense

и после всех манипуляций таблицу маршрутизации на Микротик
в обоих случаях , если все настроено верно
Вы должны увидеть , что
10.2.0 видна через 10.0.10.8
а 10.0.0 видна через 10.0.10.1

logdog

@konstanti
Вывода нету
/root: netstat -r | grep 10.2.0.0
/root:

После обновления на 2.4.4, я этого не вижу.

Буду peer-to-peer пробовать настроить...по крайней мере, сразу виден статус коннект на микротике и траффик идет
и вывод на pf
root: netstat -r | grep 10.2.0.0
10.2.0.0/24 10.0.10.2 UGS ovpns3

Konstanti

@logdog
Т е есть маршрут на 10.2.0.0 с Pf ??
судя по выводу
Peer to peer - да , это в настройках самого Openvpn на PF ( не так мы друг друга поняли)
Т е сейчас пошел трафик между сетями ?

logdog

когда поставил peer-to-peer, трафик пошел.
с микротика pf и сетка за ним пингуется
с pf - микротик (10.2.0.254) не пингуется

В самом начале темы, имел ввиду, что Remote Access сломали в 2.4.4

Konstanti

@logdog
можно увидеть таблицу маршрутизации микротик ?

logdog

@konstanti наоборот ...с микротика все видно ... с pf не видно

Микротик
[admin@MikroTik] > /ip route print detail
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
0 ADS dst-address=0.0.0.0/0 gateway=46.39.250.1 gateway-status=46.39.250.1 reachable via ether1 distance=1 scope=30 target-scope=10 vrf-interface=ether1

1 ADS dst-address=10.0.0.0/24 gateway=10.0.10.1 gateway-status=10.0.10.1 reachable via pfSense distance=1 scope=30 target-scope=10

2 ADC dst-address=10.0.10.0/24 pref-src=10.0.10.2 gateway=pfSense gateway-status=pfSense reachable distance=0 scope=10

3 ADC dst-address=10.2.0.0/24 pref-src=10.2.0.254 gateway=bridge gateway-status=bridge reachable distance=0 scope=10

Konstanti

@logdog а tcpdump на opnvns3 интерфейсе pf показывает , что пакеты для 10.2.0.254 уходят в туннель ?
c pf 10.0.10.2 пингуется ?
Мб mikrotik блокирует входящий трафик ?
Все это акутально при условии , что pf знает про 10.2.0
Вы показывали вывод , что знает

logdog

@konstanti tcpdump не смотрел
c pf только 10.0.10.2 и пингуется

Konstanti

@logdog Посмотрите tcpdump
если пакеты в туннель уходят
То , с высокой долей вероятности , проблема в Микротике