Pfsense 2.4.4 openvpn mikrotik v6.43.2

Konstanti

@logdog а tcpdump на opnvns3 интерфейсе pf показывает , что пакеты для 10.2.0.254 уходят в туннель ?
c pf 10.0.10.2 пингуется ?
Мб mikrotik блокирует входящий трафик ?
Все это акутально при условии , что pf знает про 10.2.0
Вы показывали вывод , что знает

logdog

@konstanti tcpdump не смотрел
c pf только 10.0.10.2 и пингуется

Konstanti

@logdog Посмотрите tcpdump
если пакеты в туннель уходят
То , с высокой долей вероятности , проблема в Микротике

logdog

@konstanti
Packet Capture
19:09:18.492250 IP 10.0.10.1 > 10.2.0.254: ICMP echo request, id 55778, seq 2679, length 64
19:09:19.493250 IP 10.0.10.1 > 10.2.0.254: ICMP echo request, id 55778, seq 2680, length 64
19:09:20.494243 IP 10.0.10.1 > 10.2.0.254: ICMP echo request, id 55778, seq 2681, length 64

проблема точно в pf ... это он обновился

Konstanti

@logdog
Так пакеты в туннель уходят , значит , PF знает про 10.2.0
Не знаком с Микротиком
Есть у Микротика аналог tcpdump ?
Надо понять , что происходит на Микротике , когда туда приходит пакет
Мб , по аналогии с Iptables запрещен форвардинг пакетов с openvpn интерфейса Микротика дальше ? И его надо разрешить
Мб на микротике запрещен echo reply ?
И еще вопрос -НАТ включен на openvpn интерфейсе PF ?
если да, что будет , если его отключить
и попробовать пинговать Microtik с любого хоста 10.0.0 (не PF)
т е tcpdump показал бы
10.0.0.XXX > 10.2.0.254: ICMP echo request, id 55778, seq 2681, length 64

logdog

В общем, у кого Server mode = Remote Access (User Auth) работает с микротиком?
На микротике Status: link established вместо Status: Connect
После обновления - это поломали и нужно в багтрекер писать.

Konstanti

@logdog
Почему Вы делаете   User auth?
В вашем случае нужен peer to peer
По-моему , user auth для Road Warriors ( как сервер удаленного доступа)
https://www.netgate.com/docs/pfsense/vpn/openvpn/configuring-a-site-to-site-pki-ssl-openvpn-instance.html

посмотрите по этой ссылке настройку OpenVpn между удаленными сетями
Возможно , поможет

logdog

@konstanti у меня до 2.4.4 работал Server mode = Remote Access ... почему мне нужно делать peer to peer?

Konstanti

@logdog К сожалению , не знаю, как у Вас все было настроено
Но ,по моему скромному мнению,
Peer to peer - это режим для создания site to site Vpn соединений
Remote auth - это режим для удаленного подключения пользователей к офисной сети
Естественно , что в режиме Reemote auth можно настроить соединение сеть-сеть ( но это требует лишних телодвижений )
Если Вы обратите внимание , в режиме PtP появляется поле Remote Network при настройке сервера. Это , как бы , намекает на автоматическое создание маршрута на самом PFsense для удаленной сети
И никакие push route не надо указывать , pf их сам создаст в конфигах сервера
Вот что PF создаст автоматически в Вашем случае

Посмотрите логи на Микротике - возможно , есть какие-то опции , которые ему не нравятся
Версия Openvpn на pfsense OpenVPN 2.4.6
МБ есть какая-то несовместимостьё
Попробуйте заново создать конфигурационный файл для Микротика через PFSense Client Export

pigbrother

@konstanti said in Pfsense 2.4.4 openvpn mikrotik v6.43.2:

Естественно , что в режиме Reemote auth можно настроить соединение сеть-сеть ( но это требует лишних телодвижений )

Согласен. Но зато при RA можно обойтись одним экземпляром сервера и для RA c user auth и для site-to-site.

@konstanti said in Pfsense 2.4.4 openvpn mikrotik v6.43.2:

Попробуйте заново создать конфигурационный файл для Микротика через PFSense Client Export

Реализация OpenVPN у Микротик убогая и усеченная, конфиг Client Export ей не подсунуть. Хотя, надо признать, работает (работала до обновления) стабильно.стабильно

Konstanti

@pigbrother Читаю
что микротик опевпн не поддерживает компрессию
МБ надо в настройках сервера отключить ее , и будет у ТС счастье?

Логи надо читать на обеих сторонах , где-то что-то микротику не нравится

pigbrother

@konstanti said in Pfsense 2.4.4 openvpn mikrotik v6.43.2:

что микротик опевпн не поддерживает компрессию

Да, не поддерживает, как и HMAC. Не поддерживет и UDP.

Похоже в 2.4.4. изменили дефолтные настройки сжатия с no-compression на то, что видно на скриншоте. Отсюда и могут расти проблемы.

@konstanti said in Pfsense 2.4.4 openvpn mikrotik v6.43.2:

Не знаком с Микротиком

Богатые настройки openvpn Микротик:

Хотя, повторю еще раз - работает крайне стабильно и цепко.

Konstanti

@pigbrother Мощно
вот что еще вычитал
Не поддерживается в 6 версии операционной системы:
UDP протокол, т.е. необходимо использовать исключительно TCP!
LZO сжатие
TLS аутентификация
Аутентификация без имени пользователя и пароля

pigbrother

@konstanti said in Pfsense 2.4.4 openvpn mikrotik v6.43.2:

Аутентификация без имени пользователя и пароля

Это неправда. Он просто не дает оставить пустыми поля User\Password.
Надо просто вписать тудачто угодно, если если сервер без user-auth.

Konstanti

@pigbrother Это я так ))) для общей картины ))
В общем , резюме такое
Что надо попробовать отключить компрессию
если не поможет , изучать логи Микротика и PFsense

pigbrother

@konstanti said in Pfsense 2.4.4 openvpn mikrotik v6.43.2:

Что надо попробовать отключить компрессию
если не поможет , изучать логи Микротика и PFsense

В Микротике для openvpn надо включить расширенный лог. Это для @logdog
А pf должен в логах ругаться либо на конкретно компрессию, либо, как помнится на "incorrect TCP packets received@

Konstanti

@pigbrother
ТС , попробуйте сделать так

и посмотрите , будет работать или нет ?

pigbrother

@konstanti said in Pfsense 2.4.4 openvpn mikrotik v6.43.2:

и посмотрите , будет работать или нет ?

Опередили. Именно это в свете догадок выше хотел посоветовать.

@logdog, отпишитесь о результате.

Как тут вставить имя без copy\paste?
UPD
Нашел. Надо начать с символа @

werter

Т.е. это коммерческое "поделие" (я про МТ) помимо того, что с UDP не умеет , так еще и компрессию не поддерживает?

Спасибо. Не надо. Openwrt, Padavan, TomatoUSB + б\у роутер за ~10-20 у.е. решает данную проблему. А если роутер на MT76XX - еще и аппаратное ускорение для AES получаем.

logdog

@pigbrother Сорри, пока не могу ... много работы в бухгалтерии, а искать баг пока нет времени...., но все равно, вернусь к этому вопросу.

Выше Вы писали про все ограничения, я их знаю... и да, компрессию первой попробовал вернуть в не использовать.

И да, связка работала более года и пережила много обновлений, кроме 2.4.4