mikrotik+pfsense OpenVPN

serj161

@pigbrother давайте

pigbrother

@serj161 said in mikrotik+pfsense OpenVPN:

@pigbrother давайте

Сервер
/var/etc/openvpn

dev ovpns4
verb 1
dev-type tun
tun-ipv6
dev-node /dev/tun4
writepid /var/run/openvpn_server4.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto tcp-server
cipher AES-256-CBC
auth SHA1
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local a.b.c.d
tls-server
server 10.11.12.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc/server4
ifconfig 10.11.12.1 10.11.12.2
tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'ovpns2' 1"
lport xxx5
management /var/etc/openvpn/server4.sock unix
push "route 10.0.2.0 255.255.255.0"
ca /var/etc/openvpn/server4.ca 
cert /var/etc/openvpn/server4.cert 
key /var/etc/openvpn/server4.key 
dh /etc/dh-parameters.1024
crl-verify /var/etc/openvpn/server4.crl-verify 
persist-remote-ip
float
topology subnet
route 10.0.3.0 255.255.255.0

Client Specific Overrides
/var/etc/openvpn-csc/server4/common name клиента за Микротик

iroute 10.0.3.0 255.255.255.0

Микротик

/interface ovpn-client
add certificate=cert_name cipher=aes256 comment="OVPN to pfSense" connect-to=a.b.c.d name=\
    ovpn-out1 password=pass port=xxx5 user=user

a.b.c.d - Wan IP pfSense
xxx5 - Порт Open VPN сервера
10.0.2.0 - Сеть за pfSense
10.0.3.0 - сеть за Микротик
10.11.12.0 - сеть тунеля

Редактировать конфиги вручную не надо, привел просто для справки.

serj161

@pigbrother спасибо, попробую

serj161

@pigbrother видимо делаю что то не так. сеть за Микротик, в том числе и сам микротик недоступны

serj161

@pigbrother еще немного поясню. Микротик сам выступает клиентом. сертификаты на него загружены, соединяется без проблем

pigbrother

@serj161 said in mikrotik+pfsense OpenVPN:

Микротик сам выступает клиентом. сертификаты на него загружены, соединяется без проблем

Это как бы было ясно с самого начала.
Строки, соответствующие моим
route 10.0.3.0 255.255.255.0
в настройках сервера
и
iroute 10.0.3.0 255.255.255.0
в Client Specific Overrides
в ваших конфигах есть?

serj161

@pigbrother имеются

pigbrother

@serj161
Начиная с версии 6.41 (не уверен, это там где исчезло понятие master port) в RouterOS появились существенные изменения. Возможно - они требуют доп. усилий\правил при настройке Микротик.
Я на эту(и) версии не переходил, поэтому это только предположения.

ToXaNSK

Наидобрейшего всем!
Не хочу плодить новых тем, посему подниму эту.
pfSense 2.3.4 p1 + mikrotik rb950G (6.40.8)
Настраивал по http://qlr.ro/site-to-site-openvpn-between-pfsense-and-mikrotik/
Если есть другие ссылки готов посмотреть.
Естественно не работает.

ping с pfSense до компьютеров за микротиком идет, при условии указания статического маршрута в отношении ovpn тунеля, (из примера БольшогоБрата) это 10.11.12.0/30 в ovpn-out1
ping из сети за pfSense до компов за Микротиким нет, а если добавить статический маршрут типа 10.0.2.0/24 в ovpn-out1, (из примера БольшогоБрата), то будет работать.
Ну и из-за микротика, в сторону pfSense ничего не пингуется, не ip pfSense не сеть за ним.

@pigbrother said in mikrotik+pfsense OpenVPN:

@serj161 said in mikrotik+pfsense OpenVPN:

Микротик сам выступает клиентом. сертификаты на него загружены, соединяется без проблем

Это как бы было ясно с самого начала.
Строки, соответствующие моим
route 10.0.3.0 255.255.255.0
в настройках сервера
и
iroute 10.0.3.0 255.255.255.0
в Client Specific Overrides
в ваших конфигах есть?

Это необходимо добавить в расширенных настройках?
И что есть Common-Name!?

Konstanti

@toxansk Доброго дня
Проблема , скорее всего , в маршрутизации
Если делали по инструкции , то настройки Peer to Peer ???
Local network и Remote Network настроены ??
Можете показать настройки сервера ?
Судя по всему Микротик ничего не знает о сети за pfsense
Можете показать таблицу маршрутизации Микротик ?

ToXaNSK

@konstanti said in mikrotik+pfsense OpenVPN:

@toxansk Доброго дня

Если делали по инструкции , то настройки Peer to Peer ???

Ссылку можно на инструкцию?
Остально сейчас выложу.

Konstanti

@toxansk Вы же сами ссылку указали в своем сообщении
При правильной настройке в режиме Peer-to-Peer ,
Маршрут к Local Network передается клиенту
а маршрут к Remote Network записывается в таблицу маршрутизации PF
Поэтому , мне и кажется , что Микротик и не знает про Local Network ничего

ToXaNSK

@konstanti
обрадовался, что еще, что то есть.

сеть pfSense 192.168.0.0/24
MK 172.16.4.0/24
Тунель 10.88.88.0/30

 0 ADS  dst-address=0.0.0.0/0 gateway=172.16.164.1 
        gateway-status=172.16.164.1 reachable via  EOS distance=0 scope=30 
        target-scope=10 vrf-interface=EOS 

 1 A S  dst-address=10.88.88.0/30 gateway=ovpn-home-to-office 
        gateway-status=ovpn-home-to-office reachable distance=1 scope=30 
        target-scope=10 

 2 ADC  dst-address=172.16.1.0/24 pref-src=172.16.1.254 gateway=LAN 
        gateway-status=LAN reachable distance=0 scope=10 

 3   S  dst-address=172.16.2.0/24 gateway=Tula gateway-status=Tula unreachable 
        distance=1 scope=30 target-scope=10 

 4 ADC  dst-address=172.16.3.0/24 pref-src=172.16.3.254 gateway=GUEST 
        gateway-status=GUEST reachable distance=0 scope=10 

 5 ADC  dst-address=172.16.4.0/24 pref-src=172.16.4.254 gateway=OFFICE 
        gateway-status=OFFICE reachable distance=0 scope=10 

 6  DS  dst-address=172.16.4.0/24 gateway=255.255.255.255 
        gateway-status=255.255.255.255 reachable via  ovpn-home-to-office 
        distance=1 scope=30 target-scope=10 

 7 ADC  dst-address=172.16.164.0/23 pref-src=172.16.165.85 gateway=EOS 
        gateway-status=EOS reachable distance=0 scope=10 

 8 A S  dst-address=192.168.0.0/24 gateway=ovpn-home-to-office 
        gateway-status=ovpn-home-to-office reachable distance=1 scope=30 
        target-scope=10 

 9  DS  dst-address=192.168.0.0/24 gateway=255.255.255.255 
        gateway-status=255.255.255.255 reachable via  ovpn-home-to-office 
        distance=1 scope=30 target-scope=10 

10 ADC  dst-address=255.255.255.255/32 pref-src=10.88.88.2 
        gateway=ovpn-home-to-office 
        gateway-status=ovpn-home-to-office reachable distance=0 scope=10

Konstanti

@toxansk Хммм
знает Микротик про 192.168.0.0 /24
Тогда все равно можно взглянуть на настройки сервера ?
И еще ( для успокоения ) вывод команды
netstat -r | grep 172.16.4 на pfsense
Правила разрешаюшие на Openvpn интерфейсе прописаны ?

ToXaNSK

@konstanti said in mikrotik+pfsense OpenVPN:

netstat -r | grep 172.16.4

172.16.4.0 10.88.88.2 UGS ovpns1

dev ovpns1
verb 1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto tcp-server
cipher AES-256-CBC
auth SHA1
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 127.0.0.1
tls-server
ifconfig 10.88.88.1 10.88.88.2
tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'my.name' 1"
lport 1196
management /var/etc/openvpn/server1.sock unix
max-clients 1
push "route 192.168.0.0 255.255.255.0"
route 172.16.4.0 255.255.255.0
ca /var/etc/openvpn/server1.ca 
cert /var/etc/openvpn/server1.cert 
key /var/etc/openvpn/server1.key 
dh /etc/dh-parameters.1024
push "route 172.16.4.0 255.255.255.0"

common-name

iroute 172.16.4.0 255.255.255.0
iroute 172.16.4.0 255.255.255

ToXaNSK

 1 A S  dst-address=10.88.88.0/30 gateway=ovpn-home-to-office 
        gateway-status=ovpn-home-to-office reachable distance=1 scope=30 
        target-scope=10 


 8 A S  dst-address=192.168.0.0/24 gateway=ovpn-home-to-office 
        gateway-status=ovpn-home-to-office reachable distance=1 scope=30 
        target-scope=10 

В ручную добавленные маршруты.

Konstanti

@toxansk Так-то все настроено верно
не совсем понимаю смысл команды iroute в этом случае
Pf про 172.16.4.0 знает
Микротик тоже про 192.168.0.0
Давайте так - PF пингует 172.16.4.254 ?
Микротик пингует 192.168.0. XXX ( lan интерфейс pf) ?
Правила разрешающие прописаны на OpenVpn интрефейсе PF ?
и еще
push "route 172.16.4.0 255.255.255.0" - вот это откуда в настройках сервера ?
и еще не совсем понимаю - Local 127.0.0.1 - поменяйте на WAN

ToXaNSK

@toxansk Так-то все настроено верно
не совсем понимаю смысл команды iroute в этом случае
В примере настройки их нет. Выше в теме есть. Для чего не вразумил.
Pf про 172.16.4.0 знает
Микротик тоже про 192.168.0.0
Давайте так - PF пингует 172.16.4.254 ?
Если включить маршурeты созданyые вручную, то работае от микротика в pfSense
Микротик пингует 192.168.0. XXX ( lan интерфейс pf) ?
Да
Правила разрешающие прописаны на OpenVpn интрефейсе PF ?
на пфСенсе было v4 TCP LAN net * 172.16.4.0/24 * * none
исправил
v4 * LAN net * 172.16.4.0/24 * * none
и еще
push "route 172.16.4.0 255.255.255.0" - вот это откуда в настройках сервера ?
Все пробывал подряд, не заню для чего и куда ее надо.
и еще не совсем понимаю - Local 127.0.0.1 - поменяйте на WAN
В примере так.

Konstanti

@toxansk
Я правильно понял , что сейчас все работает ?
ICMP - свой протокол ( не TCP)
он был запрещен ??? теперь разрешен ??
Мое резюме - push "route 172.16.4.0 255.255.255.0" не надо
iroute - тоже
127.0.0.1 я бы поменял на WAN
и тогда не нужна непонятная переадресация портов на WAN интерфейсе
и еще - вместо tcp использовал бы udp ( не забудьте открыть 1196 udp на WAN)

ToXaNSK

@konstanti
udp микротик не может, как бы!?

Сейчас вообще все поломалось :)