Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    mikrotik+pfsense OpenVPN

    Scheduled Pinned Locked Moved Russian
    47 Posts 4 Posters 4.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      Konstanti @ToXaNSK
      last edited by

      @toxansk Хммм
      знает Микротик про 192.168.0.0 /24
      Тогда все равно можно взглянуть на настройки сервера ?
      И еще ( для успокоения ) вывод команды
      netstat -r | grep 172.16.4 на pfsense
      Правила разрешаюшие на Openvpn интерфейсе прописаны ?

      1 Reply Last reply Reply Quote 0
      • T
        ToXaNSK
        last edited by ToXaNSK

        @konstanti said in mikrotik+pfsense OpenVPN:

        netstat -r | grep 172.16.4

        172.16.4.0 10.88.88.2 UGS ovpns1

        dev ovpns1
        verb 1
        dev-type tun
        dev-node /dev/tun1
        writepid /var/run/openvpn_server1.pid
        #user nobody
        #group nobody
        script-security 3
        daemon
        keepalive 10 60
        ping-timer-rem
        persist-tun
        persist-key
        proto tcp-server
        cipher AES-256-CBC
        auth SHA1
        up /usr/local/sbin/ovpn-linkup
        down /usr/local/sbin/ovpn-linkdown
        local 127.0.0.1
        tls-server
        ifconfig 10.88.88.1 10.88.88.2
        tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'my.name' 1"
        lport 1196
        management /var/etc/openvpn/server1.sock unix
        max-clients 1
        push "route 192.168.0.0 255.255.255.0"
        route 172.16.4.0 255.255.255.0
        ca /var/etc/openvpn/server1.ca 
        cert /var/etc/openvpn/server1.cert 
        key /var/etc/openvpn/server1.key 
        dh /etc/dh-parameters.1024
        push "route 172.16.4.0 255.255.255.0"
        

        common-name

        iroute 172.16.4.0 255.255.255.0
        iroute 172.16.4.0 255.255.255
        

        Say what you mean, mean what you say. (Interstate 60)

        K 1 Reply Last reply Reply Quote 0
        • T
          ToXaNSK
          last edited by

          
           1 A S  dst-address=10.88.88.0/30 gateway=ovpn-home-to-office 
                  gateway-status=ovpn-home-to-office reachable distance=1 scope=30 
                  target-scope=10 
          
          
           8 A S  dst-address=192.168.0.0/24 gateway=ovpn-home-to-office 
                  gateway-status=ovpn-home-to-office reachable distance=1 scope=30 
                  target-scope=10 
          

          В ручную добавленные маршруты.

          Say what you mean, mean what you say. (Interstate 60)

          1 Reply Last reply Reply Quote 0
          • K
            Konstanti @ToXaNSK
            last edited by Konstanti

            @toxansk Так-то все настроено верно
            не совсем понимаю смысл команды iroute в этом случае
            Pf про 172.16.4.0 знает
            Микротик тоже про 192.168.0.0
            Давайте так - PF пингует 172.16.4.254 ?
            Микротик пингует 192.168.0. XXX ( lan интерфейс pf) ?
            Правила разрешающие прописаны на OpenVpn интрефейсе PF ?
            и еще
            push "route 172.16.4.0 255.255.255.0" - вот это откуда в настройках сервера ?
            и еще не совсем понимаю - Local 127.0.0.1 - поменяйте на WAN

            T 1 Reply Last reply Reply Quote 0
            • T
              ToXaNSK @Konstanti
              last edited by ToXaNSK

              @toxansk Так-то все настроено верно
              не совсем понимаю смысл команды iroute в этом случае
              В примере настройки их нет. Выше в теме есть. Для чего не вразумил.
              Pf про 172.16.4.0 знает
              Микротик тоже про 192.168.0.0
              Давайте так - PF пингует 172.16.4.254 ?
              Если включить маршурeты созданyые вручную, то работае от микротика в pfSense
              Микротик пингует 192.168.0. XXX ( lan интерфейс pf) ?
              Да
              Правила разрешающие прописаны на OpenVpn интрефейсе PF ?
              на пфСенсе было v4 TCP LAN net * 172.16.4.0/24 * * none
              исправил
              v4 * LAN net * 172.16.4.0/24 * * none
              и еще
              push "route 172.16.4.0 255.255.255.0" - вот это откуда в настройках сервера ?
              Все пробывал подряд, не заню для чего и куда ее надо.
              и еще не совсем понимаю - Local 127.0.0.1 - поменяйте на WAN
              В примере так.

              Say what you mean, mean what you say. (Interstate 60)

              K 1 Reply Last reply Reply Quote 0
              • K
                Konstanti @ToXaNSK
                last edited by Konstanti

                @toxansk
                Я правильно понял , что сейчас все работает ?
                ICMP - свой протокол ( не TCP)
                он был запрещен ??? теперь разрешен ??
                Мое резюме - push "route 172.16.4.0 255.255.255.0" не надо
                iroute - тоже
                127.0.0.1 я бы поменял на WAN
                и тогда не нужна непонятная переадресация портов на WAN интерфейсе
                и еще - вместо tcp использовал бы udp ( не забудьте открыть 1196 udp на WAN)

                T 1 Reply Last reply Reply Quote 0
                • T
                  ToXaNSK @Konstanti
                  last edited by

                  @konstanti
                  udp микротик не может, как бы!?

                  Сейчас вообще все поломалось :)

                  Say what you mean, mean what you say. (Interstate 60)

                  K 1 Reply Last reply Reply Quote 0
                  • K
                    Konstanti @ToXaNSK
                    last edited by Konstanti

                    @toxansk не знаю микротик )) сорри , действую по алгоритму нормальных устройств )
                    Просто на tcp openvpn работает ооочень медленно
                    Итак , все работает ????

                    T 1 Reply Last reply Reply Quote 0
                    • T
                      ToXaNSK @Konstanti
                      last edited by

                      @konstanti said in mikrotik+pfsense OpenVPN:

                      @toxansk не знаю микротик )) сорри , действую по алгоритму нормальных устройств )
                      Просто на tcp openvpn работает ооочень медленно
                      Итак , все работает ????
                      Да. Если прописать маршрут на тунель и на подсеть за pfSense.
                      А почем ув примере все само заработало не знаю.

                      На, до 100Мбит канале, не более 7 Мбит.

                      Но Микроти+пфСенсе временно. Скоро поставлю два пфСенсе.

                      Say what you mean, mean what you say. (Interstate 60)

                      K 1 Reply Last reply Reply Quote 0
                      • K
                        Konstanti @ToXaNSK
                        last edited by

                        @toxansk Ну , и отлично
                        Поправьте конфиги ))
                        Мне вообще OpenVpn не очень по душе приходится . Я больше к IPSEC тяготею
                        А в 2.4.4 можно уже VTI спокойно использовать . Но это так , мысли вслух )

                        T P 2 Replies Last reply Reply Quote 0
                        • T
                          ToXaNSK @Konstanti
                          last edited by ToXaNSK

                          @konstanti said in mikrotik+pfsense OpenVPN:

                          @toxansk Ну , и отлично
                          Поправьте конфиги ))
                          Мне вообще OpenVpn не очень по душе приходится . Я больше к IPSEC тяготею
                          А в 2.4.4 можно уже VTI спокойно использовать . Но это так , мысли вслух )

                          А поправить конфиги для повышения скорости?

                          А что производительнее при профих равных условиях?

                          Да и СпАСИБО :)

                          Косяк был в настройка ovpn на стороне pfSense?прошляпил TCP, а не any.

                          Say what you mean, mean what you say. (Interstate 60)

                          K S 2 Replies Last reply Reply Quote 0
                          • K
                            Konstanti @ToXaNSK
                            last edited by

                            @toxansk поддержка IPSEC встроена в ядро PFSENSE , поэтому при многоядерных системах используются все ядра , а вот с OpenVPn - вопрос
                            Сколько не тестировал , у меня IPSEC туннель по скорости был раз в 2 выше чем OpenVPN

                            T 1 Reply Last reply Reply Quote 0
                            • S
                              serj161 @ToXaNSK
                              last edited by

                              @toxansk где именно нужно указать TCP?

                              K T 2 Replies Last reply Reply Quote 0
                              • K
                                Konstanti @serj161
                                last edited by Konstanti

                                @serj161 Я так понял , в правилах на lan интерфейсе
                                был указан только tcp
                                поэтому пинги не бегали
                                и микротик не поддерживает udp для OpenVpn

                                1 Reply Last reply Reply Quote 0
                                • T
                                  ToXaNSK @Konstanti
                                  last edited by

                                  @konstanti said in mikrotik+pfsense OpenVPN:

                                  @toxansk поддержка IPSEC встроена в ядро PFSENSE , поэтому при многоядерных системах используются все ядра , а вот с OpenVPn - вопрос
                                  Сколько не тестировал , у меня IPSEC туннель по скорости был раз в 2 выше чем OpenVPN

                                  У pfSense железо слабое:

                                  Platform pfSense
                                  CPU Type VIA Nehemiah
                                  Hardware crypto VIA Padlock

                                  да МК бюджетный.

                                  Пока пойдет.

                                  Say what you mean, mean what you say. (Interstate 60)

                                  K 1 Reply Last reply Reply Quote 0
                                  • K
                                    Konstanti @ToXaNSK
                                    last edited by

                                    @toxansk Согласен )
                                    Но все серьезные железяки , типа , Cisco, Hp, Juniper и тд и тп OpenVpn не поддерживают
                                    Удачи )

                                    1 Reply Last reply Reply Quote 0
                                    • T
                                      ToXaNSK @serj161
                                      last edited by

                                      @serj161 said in mikrotik+pfsense OpenVPN:

                                      @toxansk где именно нужно указать TCP?

                                      В настройка pfSense ovpn интерфейс
                                      было
                                      v4 TCP LAN net * 172.16.4.0/24 * * none
                                      а надо было
                                      v4 * LAN net * 172.16.4.0/24 * * none

                                      Say what you mean, mean what you say. (Interstate 60)

                                      1 Reply Last reply Reply Quote 0
                                      • P
                                        pigbrother @Konstanti
                                        last edited by

                                        @konstanti said in mikrotik+pfsense OpenVPN:

                                        Я больше к IPSEC тяготею

                                        Open VPN в Микротик "для галочки", хотя и работает в пределах своих ограничений вполне неплохо.
                                        А IPSEC в нем реализован на уровне, последние модели, включая недорогие, имеют и аппаратную поддержку.

                                        @toxansk said in mikrotik+pfsense OpenVPN:

                                        На, до 100Мбит канале, не более 7 Мбит.

                                        @konstanti said in mikrotik+pfsense OpenVPN:

                                        Просто на tcp openvpn работает ооочень медленно

                                        Странно, но у меня особой разницы между UDP\TCP нет, копирование по SMB практически достигает скорости ISP (имею в виду скорости 20-100 МБит, не выше).

                                        Еще наблюдение. Одна из точек подключена через LTE. Оказалось, опсос (в пылу борьбы с торрентами(?) ) сильно ограничивает UDP-траффик, переход на TCP заставил линк летать.

                                        1 Reply Last reply Reply Quote 0
                                        • T
                                          ToXaNSK
                                          last edited by ToXaNSK

                                          @pigbrother

                                          Тогда возникает резонный вопрос.
                                          Как то можно оптимизировать скорость работы, точнее увеличить скорость, ovpn pfSense+Mikrotik или стоит переходить сразу на IPSEC?
                                          И связка из 2 pfSense будет быстрее работать на ovpn или ipsec?

                                          Say what you mean, mean what you say. (Interstate 60)

                                          P 1 Reply Last reply Reply Quote 0
                                          • P
                                            pigbrother @ToXaNSK
                                            last edited by

                                            @toxansk
                                            Open VPN - однопоточное приложение и может использовать только одно ядро ЦПУ. Скорости, которые я указывал выше получил без всяких оптимизаций и доп настроек (буферов, в частности).

                                            @toxansk said in mikrotik+pfsense OpenVPN:

                                            или стоит переходить сразу на IPSEC?

                                            Ничто не мешает попробовать IPSEC.

                                            Мне OpenVPN больше импонирует гибкостью, центализованным управлением марщрутами- все делается на стороне сервера, задача клиента - только поднять туннель.

                                            Ну и необходимость "белого" IP для IPSEC на второй стороне не всегда позволяет его использовать.

                                            K 1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.