OpenVPN microtic - pfsense. Не видна сеть.

Konstanti

@rline Заполните поле Local Network 192.168.1.0/24 и будет Вам счастье

Вот это смысла заполнять нет

4. VPN -> OpenVPN -> Client Specific Overrides

После установления соединения проверьте таблицы маршрутизации с обеих сторон
PF должен знать о 3.0/24 , а Микротик о 1.0/24

pigbrother

@Konstanti said in OpenVPN microtic - pfsense. Не видна сеть.:

Вот это смысла заполнять нет
4. VPN -> OpenVPN -> Client Specific Overrides

Хм. По идее для site-to-site это необходимо.
Route\оно же - IPv4 Remote network(s) в настройках сервера сообщает серверу, что есть маршрут в сеть за клиентом,
А именно iroute\оно же - IPv4 Remote Network/s в Client Specific Overrides
как раз говорит серверу, за каким конкретно клиентом (даже если клиент единственный) эта сеть находится.

werter

@Konstanti said in OpenVPN microtic - pfsense. Не видна сеть.:

@rline Заполните поле Local Network 192.168.1.0/24 и будет Вам счастье

Вот это смысла заполнять нет

4. VPN -> OpenVPN -> Client Specific Overrides

Еще и как есть

@rline
Картинки выкладывайте здесь. Не надо их в облака совать.

rline

Сейчас этот раздел у меня выглядит так:

Но пинги так и не идут. Может стоит микротик копать, а не pf?

Konstanti

@rline
Таблицы маршрутизации проверили ????
Есть нужные маршруты с обеих сторон туннеля после установления соединения ???
Знает Микротик , что маршрут к 1.0/24 идет через OPenvpn ??
Знает PF , что маршрут к 3.0/24 идет через Openvpn ?
Если тут все нормально , и маршруты присутствуют , рекомендую запустить tcpdump на openvpn интерфейсе pf для анализа

werter

Добрый

@rline

Не в тему, но.
А какая версия пф у вас?

pigbrother

@werter said in OpenVPN microtic - pfsense. Не видна сеть.:

А какая версия пф у вас?

Вспоминается необходимость разрешающего правила на LAN для удаленной сети, необходимого в старых версиях pf.
@werter , вероятно это имеется в виду?

werter

@pigbrother
Я это правило и в latest stable добавляю на всякий )

Похоже ,что у ТС пф оч старый (

rline

@werter said in OpenVPN microtic - pfsense. Не видна сеть.:

Похоже ,что у ТС пф оч старый (

Угу 2.0.1

вот таблица маршрутизации pf, до микротика пока добраться не могу, завтра выложу.

Konstanti

@rline
Те получается , что маршрут до 3.0/24 в таблице существует
И через него было отправлено n-ое (13) кол-во пакетов
надо теперь смотреть таблицу маршрутизации Микротика , все ли там в порядке
Скажите , pf пингует 10.0.9.2 ?

rline

@Konstanti said in OpenVPN microtic - pfsense. Не видна сеть.:

Скажите , pf пингует 10.0.9.2 ?

Не пингует. Я так понимаю надо микротик крутить, а не pf?

Konstanti

@rline попробуйте для начала включить tcpdump на ovpns2 интерфейсе и посмотреть уходят ли пакеты в сторону 10.0.9.2.
Как пингуете 10.0.9.2 ?
С любого хоста 1.0/24 или из WebGUI PFSense ?

pigbrother

@rline said in OpenVPN microtic - pfsense. Не видна сеть.:

Не пингует. Я так понимаю надо микротик крутить, а не pf?

Использую Микротики с PF давно и плодотворно.
Никаких настроек на них, кроме поднятия клиента OpenVPN не делал.
Одно но. Версии RouterOS у меня младше, возможно в 6.4.х что-то изменилось.

Попробуйте на LAN первым правилом создать
IPv4 * LAN net * 192.168.3.0/24 * * none

rline

@Konstanti said in OpenVPN microtic - pfsense. Не видна сеть.:

Как пингуете 10.0.9.2 ?
С любого хоста 1.0/24 или из WebGUI PFSense ?

Попробовал и с хоста и через gui результат одинаков.

@Konstanti said in OpenVPN microtic - pfsense. Не видна сеть.:

попробуйте для начала включить tcpdump на ovpns2 интерфейсе и посмотреть уходят ли пакеты в сторону 10.0.9.2.

Подскажите как это сделать?

@pigbrother said in OpenVPN microtic - pfsense. Не видна сеть.:

Попробуйте на LAN первым правилом создать
IPv4 * LAN net * 192.168.3.0/24 * * none

Если я правильно понял это вот такое правило?

Результатов оно не дало.

Вот так выглядят маршруты на mk

Konstanti

@rline как-то странно у Вас в микротике выглядит таблица маршрутизации

Обратите внимание (вчера была картинка) , таблица маршрутизации PF
10.0.9.1 /10.0.9.2 (адреса туннеля)
а у Вас на микротике
10.0.9.6/10.0.9.5 (адреса туннеля)
откуда взялись эти адреса ???

поменяйте в настройках туннеля маску подсети на 10.0.9.0/30 вместо 10.0.9.0/24

rline

@Konstanti said in OpenVPN microtic - pfsense. Не видна сеть.:

откуда взялись эти адреса ???

Это хороший вопрос. Не помню чтобы на микротике я вручную эти адреса прописывал.

Не знаю даст это что-нибудь или нет, но с хостов за pf я пингую 10.0.9.1 и 10.0.9.6 и с хостов за mk то же самое.

@Konstanti said in OpenVPN microtic - pfsense. Не видна сеть.:

поменяйте в настройках туннеля маску подсети на 10.0.9.0/30 вместо 10.0.9.0/24

Поменял. Ничего не дало.

Konstanti

@rline Посмотрите таблицы маршрутизации на обоих устройствах
и проверьте , что сейчас со стороны pf адрес туннеля 10.0.9.1 , а со стороны микротик 10.0.9.2
Должно быть так
Вы в 2-х местах поменяли настройки ?
у Вас же эти настройки продублированы в основных и в настройках клиента

я бы , на Вашем месте , попробовал заблокировать настройки "client specific override" и проверить , как будут выглядеть таблицы маршрутизации устройств

отметьте раздел Disable this ovveride

или очистите поле tunnel network в "client specific override". Я подозреваю , что проблема с адресами именно из-за этого.

rline

@Konstanti Сначала полностью отключил client specific override, а затем включил, но убрал подсеть 10,0,9,0 это ничего не поменяло

@Konstanti said in OpenVPN microtic - pfsense. Не видна сеть.:

проверьте , что сейчас со стороны pf адрес туннеля 10.0.9.1 , а со стороны микротик 10.0.9.2

а как это проверить?

Konstanti

@rline
Это видно по таблицам маршрутизации

Должно быть 10.0.9.1 и 10.0.9.2 - соответственно

как тут

только 10.0.9.0/24 должно поменяться на 10.0.9.0/30

pigbrother

@rline said in OpenVPN microtic - pfsense. Не видна сеть.:

Если я правильно понял это вот такое правило?

IPv4 * LAN net * 192.168.3.0/24 * * none
Ошиблись. Вместо TCP поставьте ANY.
И Source - LAN net.

Нет ли на ПК за МТ включенных брандмауэров?