Pfsense 2.4.4 openvpn mikrotik v6.43.2
-
@konstanti said in Pfsense 2.4.4 openvpn mikrotik v6.43.2:
Естественно , что в режиме Reemote auth можно настроить соединение сеть-сеть ( но это требует лишних телодвижений )
Согласен. Но зато при RA можно обойтись одним экземпляром сервера и для RA c user auth и для site-to-site.
@konstanti said in Pfsense 2.4.4 openvpn mikrotik v6.43.2:
Попробуйте заново создать конфигурационный файл для Микротика через PFSense Client Export
Реализация OpenVPN у Микротик убогая и усеченная, конфиг Client Export ей не подсунуть. Хотя, надо признать, работает (работала до обновления) стабильно.стабильно
-
@pigbrother Читаю
что микротик опевпн не поддерживает компрессию
МБ надо в настройках сервера отключить ее , и будет у ТС счастье?Логи надо читать на обеих сторонах , где-то что-то микротику не нравится
-
@konstanti said in Pfsense 2.4.4 openvpn mikrotik v6.43.2:
что микротик опевпн не поддерживает компрессию
Да, не поддерживает, как и HMAC. Не поддерживет и UDP.
Похоже в 2.4.4. изменили дефолтные настройки сжатия с no-compression на то, что видно на скриншоте. Отсюда и могут расти проблемы.
@konstanti said in Pfsense 2.4.4 openvpn mikrotik v6.43.2:
Не знаком с Микротиком
Богатые настройки openvpn Микротик:
Хотя, повторю еще раз - работает крайне стабильно и цепко.
-
@pigbrother Мощно
вот что еще вычитал
Не поддерживается в 6 версии операционной системы:
UDP протокол, т.е. необходимо использовать исключительно TCP!
LZO сжатие
TLS аутентификация
Аутентификация без имени пользователя и пароля -
@konstanti said in Pfsense 2.4.4 openvpn mikrotik v6.43.2:
Аутентификация без имени пользователя и пароля
Это неправда. Он просто не дает оставить пустыми поля User\Password.
Надо просто вписать тудачто угодно, если если сервер без user-auth. -
@pigbrother Это я так ))) для общей картины ))
В общем , резюме такое
Что надо попробовать отключить компрессию
если не поможет , изучать логи Микротика и PFsense -
@konstanti said in Pfsense 2.4.4 openvpn mikrotik v6.43.2:
Что надо попробовать отключить компрессию
если не поможет , изучать логи Микротика и PFsenseВ Микротике для openvpn надо включить расширенный лог. Это для @logdog
А pf должен в логах ругаться либо на конкретно компрессию, либо, как помнится на "incorrect TCP packets received@ -
@pigbrother
ТС , попробуйте сделать так
и посмотрите , будет работать или нет ?
-
@konstanti said in Pfsense 2.4.4 openvpn mikrotik v6.43.2:
и посмотрите , будет работать или нет ?
Опередили. Именно это в свете догадок выше хотел посоветовать.
@logdog, отпишитесь о результате.
Как тут вставить имя без copy\paste?
UPD
Нашел. Надо начать с символа @ -
Т.е. это коммерческое "поделие" (я про МТ) помимо того, что с UDP не умеет , так еще и компрессию не поддерживает?
Спасибо. Не надо. Openwrt, Padavan, TomatoUSB + б\у роутер за ~10-20 у.е. решает данную проблему. А если роутер на MT76XX - еще и аппаратное ускорение для AES получаем.
-
@pigbrother Сорри, пока не могу ... много работы в бухгалтерии, а искать баг пока нет времени...., но все равно, вернусь к этому вопросу.
Выше Вы писали про все ограничения, я их знаю... и да, компрессию первой попробовал вернуть в не использовать.
И да, связка работала более года и пережила много обновлений, кроме 2.4.4
-
В общем, нихрена у меня не получается поднять .... уже готов снести к чертовой матери 2.4.4. и поставить 2.4.3
-
ipsec поднял, так и закрыл эту проблему
-
Доброго.
В догонку.
Имеется возможность использовать недорогие роутеры (tp-link, d-link etc - десятки моделей) + OpenWRT + пакет openvpn-mbedtls https://forum.openwrt.org/t/tp-link-tl-wr841n-d-wa701n-d-wr740n-d-wr741n-d-wr743n-d-wr940n-wr941n-d-ladus-julia-ultra-lite-vpn-builds/1158 (лучше собирать самому, кому интересно - пишите)Работает даже на 4MB ПЗУ\flash. Скорость не более 10Mb\s.
Зы. Openwrt перешла на ядро 4.14
Единственная альтернат. прошивка, использующая такое свежее ядро linux.
