mikrotik+pfsense OpenVPN

ToXaNSK

 1 A S  dst-address=10.88.88.0/30 gateway=ovpn-home-to-office 
        gateway-status=ovpn-home-to-office reachable distance=1 scope=30 
        target-scope=10 


 8 A S  dst-address=192.168.0.0/24 gateway=ovpn-home-to-office 
        gateway-status=ovpn-home-to-office reachable distance=1 scope=30 
        target-scope=10 

В ручную добавленные маршруты.

Konstanti

@toxansk Так-то все настроено верно
не совсем понимаю смысл команды iroute в этом случае
Pf про 172.16.4.0 знает
Микротик тоже про 192.168.0.0
Давайте так - PF пингует 172.16.4.254 ?
Микротик пингует 192.168.0. XXX ( lan интерфейс pf) ?
Правила разрешающие прописаны на OpenVpn интрефейсе PF ?
и еще
push "route 172.16.4.0 255.255.255.0" - вот это откуда в настройках сервера ?
и еще не совсем понимаю - Local 127.0.0.1 - поменяйте на WAN

ToXaNSK

@toxansk Так-то все настроено верно
не совсем понимаю смысл команды iroute в этом случае
В примере настройки их нет. Выше в теме есть. Для чего не вразумил.
Pf про 172.16.4.0 знает
Микротик тоже про 192.168.0.0
Давайте так - PF пингует 172.16.4.254 ?
Если включить маршурeты созданyые вручную, то работае от микротика в pfSense
Микротик пингует 192.168.0. XXX ( lan интерфейс pf) ?
Да
Правила разрешающие прописаны на OpenVpn интрефейсе PF ?
на пфСенсе было v4 TCP LAN net * 172.16.4.0/24 * * none
исправил
v4 * LAN net * 172.16.4.0/24 * * none
и еще
push "route 172.16.4.0 255.255.255.0" - вот это откуда в настройках сервера ?
Все пробывал подряд, не заню для чего и куда ее надо.
и еще не совсем понимаю - Local 127.0.0.1 - поменяйте на WAN
В примере так.

Konstanti

@toxansk
Я правильно понял , что сейчас все работает ?
ICMP - свой протокол ( не TCP)
он был запрещен ??? теперь разрешен ??
Мое резюме - push "route 172.16.4.0 255.255.255.0" не надо
iroute - тоже
127.0.0.1 я бы поменял на WAN
и тогда не нужна непонятная переадресация портов на WAN интерфейсе
и еще - вместо tcp использовал бы udp ( не забудьте открыть 1196 udp на WAN)

ToXaNSK

@konstanti
udp микротик не может, как бы!?

Сейчас вообще все поломалось :)

Konstanti

@toxansk не знаю микротик )) сорри , действую по алгоритму нормальных устройств )
Просто на tcp openvpn работает ооочень медленно
Итак , все работает ????

ToXaNSK

@konstanti said in mikrotik+pfsense OpenVPN:

@toxansk не знаю микротик )) сорри , действую по алгоритму нормальных устройств )
Просто на tcp openvpn работает ооочень медленно
Итак , все работает ????
Да. Если прописать маршрут на тунель и на подсеть за pfSense.
А почем ув примере все само заработало не знаю.

На, до 100Мбит канале, не более 7 Мбит.

Но Микроти+пфСенсе временно. Скоро поставлю два пфСенсе.

Konstanti

@toxansk Ну , и отлично
Поправьте конфиги ))
Мне вообще OpenVpn не очень по душе приходится . Я больше к IPSEC тяготею
А в 2.4.4 можно уже VTI спокойно использовать . Но это так , мысли вслух )

ToXaNSK

@konstanti said in mikrotik+pfsense OpenVPN:

@toxansk Ну , и отлично
Поправьте конфиги ))
Мне вообще OpenVpn не очень по душе приходится . Я больше к IPSEC тяготею
А в 2.4.4 можно уже VTI спокойно использовать . Но это так , мысли вслух )

А поправить конфиги для повышения скорости?

А что производительнее при профих равных условиях?

Да и СпАСИБО :)

Косяк был в настройка ovpn на стороне pfSense?прошляпил TCP, а не any.

Konstanti

@toxansk поддержка IPSEC встроена в ядро PFSENSE , поэтому при многоядерных системах используются все ядра , а вот с OpenVPn - вопрос
Сколько не тестировал , у меня IPSEC туннель по скорости был раз в 2 выше чем OpenVPN

serj161

@toxansk где именно нужно указать TCP?

Konstanti

@serj161 Я так понял , в правилах на lan интерфейсе
был указан только tcp
поэтому пинги не бегали
и микротик не поддерживает udp для OpenVpn

ToXaNSK

@konstanti said in mikrotik+pfsense OpenVPN:

@toxansk поддержка IPSEC встроена в ядро PFSENSE , поэтому при многоядерных системах используются все ядра , а вот с OpenVPn - вопрос
Сколько не тестировал , у меня IPSEC туннель по скорости был раз в 2 выше чем OpenVPN

У pfSense железо слабое:

Platform pfSense
CPU Type VIA Nehemiah
Hardware crypto VIA Padlock

да МК бюджетный.

Пока пойдет.

Konstanti

@toxansk Согласен )
Но все серьезные железяки , типа , Cisco, Hp, Juniper и тд и тп OpenVpn не поддерживают
Удачи )

ToXaNSK

@serj161 said in mikrotik+pfsense OpenVPN:

@toxansk где именно нужно указать TCP?

В настройка pfSense ovpn интерфейс
было
v4 TCP LAN net * 172.16.4.0/24 * * none
а надо было
v4 * LAN net * 172.16.4.0/24 * * none

pigbrother

@konstanti said in mikrotik+pfsense OpenVPN:

Я больше к IPSEC тяготею

Open VPN в Микротик "для галочки", хотя и работает в пределах своих ограничений вполне неплохо.
А IPSEC в нем реализован на уровне, последние модели, включая недорогие, имеют и аппаратную поддержку.

@toxansk said in mikrotik+pfsense OpenVPN:

На, до 100Мбит канале, не более 7 Мбит.

@konstanti said in mikrotik+pfsense OpenVPN:

Просто на tcp openvpn работает ооочень медленно

Странно, но у меня особой разницы между UDP\TCP нет, копирование по SMB практически достигает скорости ISP (имею в виду скорости 20-100 МБит, не выше).

Еще наблюдение. Одна из точек подключена через LTE. Оказалось, опсос (в пылу борьбы с торрентами(?) ) сильно ограничивает UDP-траффик, переход на TCP заставил линк летать.

ToXaNSK

@pigbrother

Тогда возникает резонный вопрос.
Как то можно оптимизировать скорость работы, точнее увеличить скорость, ovpn pfSense+Mikrotik или стоит переходить сразу на IPSEC?
И связка из 2 pfSense будет быстрее работать на ovpn или ipsec?

pigbrother

@toxansk
Open VPN - однопоточное приложение и может использовать только одно ядро ЦПУ. Скорости, которые я указывал выше получил без всяких оптимизаций и доп настроек (буферов, в частности).

@toxansk said in mikrotik+pfsense OpenVPN:

или стоит переходить сразу на IPSEC?

Ничто не мешает попробовать IPSEC.

Мне OpenVPN больше импонирует гибкостью, центализованным управлением марщрутами- все делается на стороне сервера, задача клиента - только поднять туннель.

Ну и необходимость "белого" IP для IPSEC на второй стороне не всегда позволяет его использовать.

Konstanti

@pigbrother Плюс чистый IPSEC не маршрутизирует трафик . Т е все что попадает под понятие "интересный трафик" молча загоняет в туннель . Для исправления этой ситуации я использую GRE OVER IPSEC. Или можно использовать VTI . Но в 2.4.4 он реализован немного странно . Чтобы исправить эту странность , надо
Или править INC файлы или ipsec.conf ( в общем , надо разбираться )
GRE OVER IPSEC в PFSENSE тоже реализована немного "криво"
Но выигрыш в скорости превышает все эти минусы )