mikrotik+pfsense OpenVPN
-
@konstanti
обрадовался, что еще, что то есть.сеть pfSense 192.168.0.0/24
MK 172.16.4.0/24
Тунель 10.88.88.0/300 ADS dst-address=0.0.0.0/0 gateway=172.16.164.1 gateway-status=172.16.164.1 reachable via EOS distance=0 scope=30 target-scope=10 vrf-interface=EOS 1 A S dst-address=10.88.88.0/30 gateway=ovpn-home-to-office gateway-status=ovpn-home-to-office reachable distance=1 scope=30 target-scope=10 2 ADC dst-address=172.16.1.0/24 pref-src=172.16.1.254 gateway=LAN gateway-status=LAN reachable distance=0 scope=10 3 S dst-address=172.16.2.0/24 gateway=Tula gateway-status=Tula unreachable distance=1 scope=30 target-scope=10 4 ADC dst-address=172.16.3.0/24 pref-src=172.16.3.254 gateway=GUEST gateway-status=GUEST reachable distance=0 scope=10 5 ADC dst-address=172.16.4.0/24 pref-src=172.16.4.254 gateway=OFFICE gateway-status=OFFICE reachable distance=0 scope=10 6 DS dst-address=172.16.4.0/24 gateway=255.255.255.255 gateway-status=255.255.255.255 reachable via ovpn-home-to-office distance=1 scope=30 target-scope=10 7 ADC dst-address=172.16.164.0/23 pref-src=172.16.165.85 gateway=EOS gateway-status=EOS reachable distance=0 scope=10 8 A S dst-address=192.168.0.0/24 gateway=ovpn-home-to-office gateway-status=ovpn-home-to-office reachable distance=1 scope=30 target-scope=10 9 DS dst-address=192.168.0.0/24 gateway=255.255.255.255 gateway-status=255.255.255.255 reachable via ovpn-home-to-office distance=1 scope=30 target-scope=10 10 ADC dst-address=255.255.255.255/32 pref-src=10.88.88.2 gateway=ovpn-home-to-office gateway-status=ovpn-home-to-office reachable distance=0 scope=10 -
@toxansk Хммм
знает Микротик про 192.168.0.0 /24
Тогда все равно можно взглянуть на настройки сервера ?
И еще ( для успокоения ) вывод команды
netstat -r | grep 172.16.4 на pfsense
Правила разрешаюшие на Openvpn интерфейсе прописаны ? -
@konstanti said in mikrotik+pfsense OpenVPN:
netstat -r | grep 172.16.4
172.16.4.0 10.88.88.2 UGS ovpns1
dev ovpns1 verb 1 dev-type tun dev-node /dev/tun1 writepid /var/run/openvpn_server1.pid #user nobody #group nobody script-security 3 daemon keepalive 10 60 ping-timer-rem persist-tun persist-key proto tcp-server cipher AES-256-CBC auth SHA1 up /usr/local/sbin/ovpn-linkup down /usr/local/sbin/ovpn-linkdown local 127.0.0.1 tls-server ifconfig 10.88.88.1 10.88.88.2 tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'my.name' 1" lport 1196 management /var/etc/openvpn/server1.sock unix max-clients 1 push "route 192.168.0.0 255.255.255.0" route 172.16.4.0 255.255.255.0 ca /var/etc/openvpn/server1.ca cert /var/etc/openvpn/server1.cert key /var/etc/openvpn/server1.key dh /etc/dh-parameters.1024 push "route 172.16.4.0 255.255.255.0"common-name
iroute 172.16.4.0 255.255.255.0 iroute 172.16.4.0 255.255.255 -
1 A S dst-address=10.88.88.0/30 gateway=ovpn-home-to-office gateway-status=ovpn-home-to-office reachable distance=1 scope=30 target-scope=10 8 A S dst-address=192.168.0.0/24 gateway=ovpn-home-to-office gateway-status=ovpn-home-to-office reachable distance=1 scope=30 target-scope=10В ручную добавленные маршруты.
-
@toxansk Так-то все настроено верно
не совсем понимаю смысл команды iroute в этом случае
Pf про 172.16.4.0 знает
Микротик тоже про 192.168.0.0
Давайте так - PF пингует 172.16.4.254 ?
Микротик пингует 192.168.0. XXX ( lan интерфейс pf) ?
Правила разрешающие прописаны на OpenVpn интрефейсе PF ?
и еще
push "route 172.16.4.0 255.255.255.0" - вот это откуда в настройках сервера ?
и еще не совсем понимаю - Local 127.0.0.1 - поменяйте на WAN -
@toxansk Так-то все настроено верно
не совсем понимаю смысл команды iroute в этом случае
В примере настройки их нет. Выше в теме есть. Для чего не вразумил.
Pf про 172.16.4.0 знает
Микротик тоже про 192.168.0.0
Давайте так - PF пингует 172.16.4.254 ?
Если включить маршурeты созданyые вручную, то работае от микротика в pfSense
Микротик пингует 192.168.0. XXX ( lan интерфейс pf) ?
Да
Правила разрешающие прописаны на OpenVpn интрефейсе PF ?
на пфСенсе было v4 TCP LAN net * 172.16.4.0/24 * * none
исправил
v4 * LAN net * 172.16.4.0/24 * * none
и еще
push "route 172.16.4.0 255.255.255.0" - вот это откуда в настройках сервера ?
Все пробывал подряд, не заню для чего и куда ее надо.
и еще не совсем понимаю - Local 127.0.0.1 - поменяйте на WAN
В примере так. -
@toxansk
Я правильно понял , что сейчас все работает ?
ICMP - свой протокол ( не TCP)
он был запрещен ??? теперь разрешен ??
Мое резюме - push "route 172.16.4.0 255.255.255.0" не надо
iroute - тоже
127.0.0.1 я бы поменял на WAN
и тогда не нужна непонятная переадресация портов на WAN интерфейсе
и еще - вместо tcp использовал бы udp ( не забудьте открыть 1196 udp на WAN) -
@konstanti
udp микротик не может, как бы!?Сейчас вообще все поломалось :)
-
@toxansk не знаю микротик )) сорри , действую по алгоритму нормальных устройств )
Просто на tcp openvpn работает ооочень медленно
Итак , все работает ???? -
@konstanti said in mikrotik+pfsense OpenVPN:
@toxansk не знаю микротик )) сорри , действую по алгоритму нормальных устройств )
Просто на tcp openvpn работает ооочень медленно
Итак , все работает ????
Да. Если прописать маршрут на тунель и на подсеть за pfSense.
А почем ув примере все само заработало не знаю.На, до 100Мбит канале, не более 7 Мбит.
Но Микроти+пфСенсе временно. Скоро поставлю два пфСенсе.
-
@toxansk Ну , и отлично
Поправьте конфиги ))
Мне вообще OpenVpn не очень по душе приходится . Я больше к IPSEC тяготею
А в 2.4.4 можно уже VTI спокойно использовать . Но это так , мысли вслух ) -
@konstanti said in mikrotik+pfsense OpenVPN:
@toxansk Ну , и отлично
Поправьте конфиги ))
Мне вообще OpenVpn не очень по душе приходится . Я больше к IPSEC тяготею
А в 2.4.4 можно уже VTI спокойно использовать . Но это так , мысли вслух )А поправить конфиги для повышения скорости?
А что производительнее при профих равных условиях?
Да и СпАСИБО :)
Косяк был в настройка ovpn на стороне pfSense?прошляпил TCP, а не any.
-
@toxansk поддержка IPSEC встроена в ядро PFSENSE , поэтому при многоядерных системах используются все ядра , а вот с OpenVPn - вопрос
Сколько не тестировал , у меня IPSEC туннель по скорости был раз в 2 выше чем OpenVPN -
@toxansk где именно нужно указать TCP?
-
@serj161 Я так понял , в правилах на lan интерфейсе
был указан только tcp
поэтому пинги не бегали
и микротик не поддерживает udp для OpenVpn -
@konstanti said in mikrotik+pfsense OpenVPN:
@toxansk поддержка IPSEC встроена в ядро PFSENSE , поэтому при многоядерных системах используются все ядра , а вот с OpenVPn - вопрос
Сколько не тестировал , у меня IPSEC туннель по скорости был раз в 2 выше чем OpenVPNУ pfSense железо слабое:
Platform pfSense
CPU Type VIA Nehemiah
Hardware crypto VIA Padlockда МК бюджетный.
Пока пойдет.
-
@toxansk Согласен )
Но все серьезные железяки , типа , Cisco, Hp, Juniper и тд и тп OpenVpn не поддерживают
Удачи ) -
@serj161 said in mikrotik+pfsense OpenVPN:
@toxansk где именно нужно указать TCP?
В настройка pfSense ovpn интерфейс
было
v4 TCP LAN net * 172.16.4.0/24 * * none
а надо было
v4 * LAN net * 172.16.4.0/24 * * none -
@konstanti said in mikrotik+pfsense OpenVPN:
Я больше к IPSEC тяготею
Open VPN в Микротик "для галочки", хотя и работает в пределах своих ограничений вполне неплохо.
А IPSEC в нем реализован на уровне, последние модели, включая недорогие, имеют и аппаратную поддержку.@toxansk said in mikrotik+pfsense OpenVPN:
На, до 100Мбит канале, не более 7 Мбит.
@konstanti said in mikrotik+pfsense OpenVPN:
Просто на tcp openvpn работает ооочень медленно
Странно, но у меня особой разницы между UDP\TCP нет, копирование по SMB практически достигает скорости ISP (имею в виду скорости 20-100 МБит, не выше).
Еще наблюдение. Одна из точек подключена через LTE. Оказалось, опсос (в пылу борьбы с торрентами(?) ) сильно ограничивает UDP-траффик, переход на TCP заставил линк летать.
-
Тогда возникает резонный вопрос.
Как то можно оптимизировать скорость работы, точнее увеличить скорость, ovpn pfSense+Mikrotik или стоит переходить сразу на IPSEC?
И связка из 2 pfSense будет быстрее работать на ovpn или ipsec?