mikrotik+openvpn+Pfsense

DIMADUR · Mar 13, 2019, 7:17 PM

@konstanti said in mikrotik+openvpn+Pfsense:

tcpdump-ом

Пора учится пользоватся tcpdump-ом :-)
А в Pf есть что нибудь подобное?

Konstanti · Mar 13, 2019, 7:22 PM

На картинках чуть выше сервер передает маршрут 10.168.45.0/24 - как сеть за pf
и получает инфу 10.168.30.0/24 - что это удаленная сеть за туннелем.
а Вы сейчас пишете 192.168 ))) ошибка , видимо . про 192.168 я углядел в настройках МТ ( eth 2)
p.s. /diagnostics/packet capture

если клиенты не могут пинговать 10.0.6.1 - возможно , есть какое-то правило со стороны МТ , блокирующее эти пакеты (в обратную сторону пингуются хосты ?? 10.168.45->10.168.30 ? )

DIMADUR · Mar 13, 2019, 7:19 PM

@konstanti
Упс секунду поправлю.
Да на картинках все верно

DIMADUR · Mar 13, 2019, 7:22 PM

@konstanti said in mikrotik+openvpn+Pfsense:

видимо . про 192.168 я углядел в настройках МТ ( eth 2)

Да , это eth 1 . это интерфейс интернета , МТ просто включен за домашним роутером.

DIMADUR · Mar 13, 2019, 7:27 PM

@konstanti said in mikrotik+openvpn+Pfsense:

если клиенты не могут пинговать 10.0.6.1 - возможно , есть какое-то правило со стороны МТ , блокирующее эти пакеты (в обратную сторону пингуются хосты ?? 10.168.45->10.168.30 ? )

В том то и дело что правил вообще никаких нету.

Konstanti · Mar 13, 2019, 7:32 PM

@dimadur

Packet capture на openvpn интерфейсе PF запустите и гляньте , приходят ли icmp пакеты ?

DIMADUR · Mar 13, 2019, 7:33 PM

@konstanti said in mikrotik+openvpn+Pfsense:

@dimadur
Packet capture на openvpn интерфейсе PF запустите и гляньте , приходят ли icmp пакеты ?

Уже, не приходят. их МТ не отправляет

pigbrother · Mar 14, 2019, 8:02 AM

@dimadur said in mikrotik+openvpn+Pfsense:

@konstanti said in mikrotik+openvpn+Pfsense:
@dimadur
Packet capture на openvpn интерфейсе PF запустите и гляньте , приходят ли icmp пакеты ?
Уже, не приходят. их МТ не отправляет

Я же привел выше ссылку на рабочие конфиги. И для PF и для МТ, с нумерацией сетей.

Никаких правил на МТ ни firewall, ни NAT создавать не надо.

@dimadur said in mikrotik+openvpn+Pfsense:

Я читал что "client specific overrides" нужно было заполнить для того что бы клиенты за Пф могли видеть сети за МТ.

Да, и это обязательное условие для доступа в сеть за любым клиентом Open VPN.

@dimadur said in mikrotik+openvpn+Pfsense:

МТ просто включен за домашним роутером.

А что для домашней сети является default GW? МТ или домашний роутер?

@dimadur said in mikrotik+openvpn+Pfsense:

Парни , подскажите в поле Common Name в меню "client specific overrides" это тоже что и Common Name при создании сертификата?

Да

@dimadur said in mikrotik+openvpn+Pfsense:

При чем пишут , что нужно сети указывать в обратном порядке. типа сеть удаленнаая это сеть за ПФ а локальная это сеть за мт.

Сети рассматриваются со стороны сервера. Поэтому в
CSC в IPv4 Local Network/s указывается сеть за PF\сети, к котрым PF имеет маршруты.
А в IPv4 Remote Network/s - сеть за клиентом.

Konstanti · Mar 14, 2019, 8:24 AM

@pigbrother Доброе утро
Насколько я понял , глядя на картинку , сетей 2
Одна 192.168.2.0/24 - напрямую подключена к домашнему маршрутизатору и к МТ(ether1) . А вот 10.168.30.0/24 уже напрямую подключена только к MT (ether2) . Т е для этой сети MT должен являться шлюзом по умолчанию , единственным и неповторимым .
Тс , а 10.0.6.2 пингуется из сети 10.168 ????

DIMADUR · Mar 14, 2019, 8:39 PM

@konstanti said in mikrotik+openvpn+Pfsense:

Тс , а 10.0.6.2 пингуется из сети 10.168 ????

Добрый вечер али ночь :-) добрался до ПК.
Что касается пинга из 10.168. (насколько я понял вопрос про ether2 с сетью 10.168.30.0/24 ) то да. адрес 10.0.6.2 пингуется.
Но 10.0.6.1 (это IP ПФ) уже нет.
По поводу шлюза по умолчанию для сети ether2 тут для меня вопрос.
Есть такой маршрут 0 A S 0.0.0.0/0 192.168.2.1 1
Для клиентов естественно в этой сети шлюз один .
Что имелось в виду?

DIMADUR · Mar 14, 2019, 8:45 PM

@pigbrother said in mikrotik+openvpn+Pfsense:

А что для домашней сети является default GW? МТ или домашний роутер?

Объясню, дело в том что МТ стоит сейчас за домашним роутером, в испытательных целях.
В будущем этот МТ так же встанет на рабочее место в сеть за НАТ.
Домашний ПК он подключен в домашний роутер.
МТ за домашним роутером (ASUS)
К МТ подключен ноутбук-испытатель. С него я и пытаюсь настрочить доступ к сети за ПФ.

DIMADUR · Mar 14, 2019, 9:13 PM

БЛИНА!!! Парни ВСЕМ большое спасибо.
Нашел косяк свой. У меня в сертификате CN было прописано через "."
А я в "client specific overrides" ошибся и через "," ..
Вот дела...
Вообщем все поднялось и туда и сюда. полет нормальный
Всем хороших выходных

pigbrother · Mar 15, 2019, 6:35 AM

@dimadur said in mikrotik+openvpn+Pfsense:

все поднялось и туда и сюда. полет нормальный

@dimadur said in mikrotik+openvpn+Pfsense:

Так вот я подвожу итог, как мне расхвалили микротик особенно про то что ЭТО РЕШЕНИЕ ИЗ КОРОБКИ - я с ЭТИМ категорически не согласен . Не зная ньюансов МТ из коробки только ТАНЕЦ С БУБНОМ. Ну в итоге конечно же все выяснится и заработает, но осадок от "решения с коробки" останется.

Так все же МТ - решение из коробки? Или нет?

DIMADUR · Mar 15, 2019, 11:39 PM

@pigbrother said in mikrotik+openvpn+Pfsense:

Так все же МТ - решение из коробки? Или нет?
Ну, скажем так . Коробочку еще надо знать как открывать.
Тут в общем нужно немного иметь опыта с микротиком т.к. нюансы все таки есть, и самое главное разбираться в сетях.
А то бывают разные специалисты ;-)