mikrotik+openvpn+Pfsense

DIMADUR

https://hkar.ru/XBBM
https://hkar.ru/XBBN
https://hkar.ru/XBBO
https://hkar.ru/XBBP

Скриншоты настроек

Konstanti

@dimadur
И есть ли таблица маршрутизации pf?
И какие правила openvpn интерфейсе?

pigbrother

@konstanti said in mikrotik+openvpn+Pfsense:

И какие правила openvpn интерфейсе?

Я об этом первым делом спросил. Проблема, похоже, в самом туннеле.

@DIMADUR , вставляйте картинки прямо в тему.
Профиль PPP на Микротике создавать не надо.

На PF:
похоже, неверно создан\выбран сертификат сервера (оно же пишет - Server:NO). Вероятно - создан User вместо Server.

Попробуйте:
Compression сменить на No LZO compression [Legacy....]

NCP Algorithms - попробуйте None

DH Parameter Length - 1024

@dimadur said in mikrotik+openvpn+Pfsense:

Тунель поднимается, но сеть невидно ни туда ни сюда.

А что в логах Open VPN на PF?

DIMADUR

pfsense
10.0.6.0/24 10.0.6.2 UGS 0 1500 ovpns4
10.0.6.1 link#11 UHS 0 16384 lo0
10.0.6.2 link#11 UH 0 1500 ovpns4

И МТ

DST-ADDRESS PREF-SRC GATEWAY DISTANCE

0 A S 0.0.0.0/0 192.168.2.1 1
1 ADC 10.0.6.0/24 10.0.6.2 ovpn-out5 0
2 ADC 10.168.30.0/24 10.168.30.1 bridge5 0
3 ADS 10.168.45.0/24 10.0.6.1 1
4 ADC 192.168.2.0/24 192.168.2.150 ether1 0

DIMADUR

@pigbrother
Я тоже дуамю, что не правильно в PF настроенно, особенно с сертификатами что то неверно

pigbrother

@dimadur said in mikrotik+openvpn+Pfsense:

Я тоже дуамю, что не правильно в PF настроенно, особенно с сертификатами что то неверно

Так что мешает исправить?

DIMADUR

поправил. да действительно сертификат был -юзер.
сделал серверным.
но пока безрезультатно

pigbrother

@dimadur said in mikrotik+openvpn+Pfsense:

но пока безрезультатно

@pigbrother said in mikrotik+openvpn+Pfsense:

что в логах Open VPN на PF?

И в логе МТ?

Указанные выше настройки менять пробовали?

DIMADUR

@pigbrother
да настройки сменил
Вот в логах PF есть
WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1560', remote='link-mtu 1559'
WARNING: 'comp-lzo' is present in local config but missing in remote config, local='comp-lzo'
Это критично?

DIMADUR

Лог подключения на PF
Mar 12 18:44:40 openvpn 10047 TCP connection established with [AF_INET]188.242.193.129:47714
Mar 12 18:44:41 openvpn 10047 188.242.XXX.XXX:47714 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1560', remote='link-mtu 1559'
Mar 12 18:44:41 openvpn 10047 188.242.XXX.XXX:47714 WARNING: 'comp-lzo' is present in local config but missing in remote config, local='comp-lzo'
Mar 12 18:44:41 openvpn 10047 188.242.XXX.XXX:47714 [www.XXXX.ru] Peer Connection Initiated with [AF_INET]188.242.193.129:47714
Mar 12 18:44:41 openvpn 10047 www.XXXX.ru/188.242.XXX.XXX:47714 MULTI_sva: pool returned IPv4=10.0.6.2, IPv6=(Not enabled)
Mar 12 18:44:41 openvpn 10047 www.XXXXX.ru/188.242.XXX.XXX:47714 Bad compression stub decompression header byte: 69

DIMADUR

А вот как на MT посмотреть лог подключения я незнаю, не подскажите?

pigbrother

@dimadur said in mikrotik+openvpn+Pfsense:

WARNING: 'comp-lzo' is present in local config but missing in remote config, local='comp-lzo'
Это критично?

Это не помогло?

@pigbrother said in mikrotik+openvpn+Pfsense:

Попробуйте:
Compression сменить на No LZO compression [Legacy....]

@dimadur said in mikrotik+openvpn+Pfsense:

WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1560', remote='link-mtu 1559'

Вероятно - да. Не сталкивался.

DIMADUR

@pigbrother
не помогло :-(

DIMADUR

Ура, поехало. Компрессию Preference нужно было.

pigbrother

@dimadur said in mikrotik+openvpn+Pfsense:

Компрессию Preference нужно было.

А точнее?

DIMADUR

@pigbrother
Включил omit preference - компрессию. и поехало.
Осталось настроить маршруты в сети.

werter

Включил omit preference - компрессию. и поехало.

МТ не умеет сжимать трафик (?) Печалька (

DIMADUR

@werter
Вообще , мне кажется хваленые МТ много чего не умеют :-(

pigbrother

@werter said in mikrotik+openvpn+Pfsense:

МТ не умеет сжимать трафик (?) Печалька (

Много раз упоминалось.

@dimadur said in mikrotik+openvpn+Pfsense:

@werter
Вообще , мне кажется хваленые МТ много чего не умеют :-(

Между тем конкретно в плане VPN, МТ предлагают более чем достаточно, как межплатформенные решения, так и проприетарные eoip, ipip.
Стоит добвавить также - МТ одни из немногих устройств умеющих работать с SSTP.

@dimadur said in mikrotik+openvpn+Pfsense:

Осталось настроить маршруты в сети.

При правильной настройке маршруты поднимаются сами, полноценный Site-to-Site без вских NAT, ручного добавления маршрутов и т.п.

DIMADUR

@pigbrother
Я не имел ввиду, что МТ такой "плохой".
Но вот в моем случае, коллеги мне его так расхвалили, мол это дешевое , производительное решение всех задач из коробки.
Я ранее с МТ сталкивался "посколько-постольку" настроить инет и все на этом.
Но на этот раз задача чуть более сложнее.
И так имеется Pf. на нем поднято уже 4 тунеля ОпенВпн с другими Pf и с одним зукселем. особо проблем не было, только вопросы с особыми способами доступа в разные сети.
Вот и с МТ начался танец, бубен не доставал, думал - "решение из коробки и все такое. щас подымим"
Не зная в принципе про микротик известные ньюансы типа нет поддержки UDP в опенвпн, убил час. Честно даже не думал что он не поддерживает, потом нашел хлопнул полбу. Едем дальше, выше переписка следующей проблемы по поводу компресии . тоже пол дня. Ну ладно тоже в принципе давно известный факт. Т.к. решением этой задачи я занимаюсь в свободное время, на сегодня с этим МТ выяснилос- канал поднялся , я с самого МТ пингую все сети за Pf что мне нужны, но !!! как я недавно выяснил - за МТ клиенты эти сети не видят!! Блин опять что то не донастроенно.!!
Так вот я подвожу итог, как мне расхвалили микротик особенно про то что ЭТО РЕШЕНИЕ ИЗ КОРОБКИ - я с ЭТИМ категорически не согласен . Не зная ньюансов МТ из коробки только ТАНЕЦ С БУБНОМ. Ну в итоге конечно же все выяснится и заработает, но осадок от "решения с коробки" останется.