OpenVPN microtic - pfsense. Не видна сеть.
-
@rline
Таблицы маршрутизации проверили ????
Есть нужные маршруты с обеих сторон туннеля после установления соединения ???
Знает Микротик , что маршрут к 1.0/24 идет через OPenvpn ??
Знает PF , что маршрут к 3.0/24 идет через Openvpn ?
Если тут все нормально , и маршруты присутствуют , рекомендую запустить tcpdump на openvpn интерфейсе pf для анализа -
-
@werter said in OpenVPN microtic - pfsense. Не видна сеть.:
А какая версия пф у вас?
Вспоминается необходимость разрешающего правила на LAN для удаленной сети, необходимого в старых версиях pf.
@werter , вероятно это имеется в виду? -
@pigbrother
Я это правило и в latest stable добавляю на всякий )Похоже ,что у ТС пф оч старый (
-
@werter said in OpenVPN microtic - pfsense. Не видна сеть.:
Похоже ,что у ТС пф оч старый (
Угу 2.0.1
вот таблица маршрутизации pf, до микротика пока добраться не могу, завтра выложу.
-
@rline
Те получается , что маршрут до 3.0/24 в таблице существует
И через него было отправлено n-ое (13) кол-во пакетов
надо теперь смотреть таблицу маршрутизации Микротика , все ли там в порядке
Скажите , pf пингует 10.0.9.2 ? -
@Konstanti said in OpenVPN microtic - pfsense. Не видна сеть.:
Скажите , pf пингует 10.0.9.2 ?
Не пингует. Я так понимаю надо микротик крутить, а не pf?
-
@rline попробуйте для начала включить tcpdump на ovpns2 интерфейсе и посмотреть уходят ли пакеты в сторону 10.0.9.2.
Как пингуете 10.0.9.2 ?
С любого хоста 1.0/24 или из WebGUI PFSense ? -
@rline said in OpenVPN microtic - pfsense. Не видна сеть.:
Не пингует. Я так понимаю надо микротик крутить, а не pf?
Использую Микротики с PF давно и плодотворно.
Никаких настроек на них, кроме поднятия клиента OpenVPN не делал.
Одно но. Версии RouterOS у меня младше, возможно в 6.4.х что-то изменилось.Попробуйте на LAN первым правилом создать
IPv4 * LAN net * 192.168.3.0/24 * * none -
@Konstanti said in OpenVPN microtic - pfsense. Не видна сеть.:
Как пингуете 10.0.9.2 ?
С любого хоста 1.0/24 или из WebGUI PFSense ?Попробовал и с хоста и через gui результат одинаков.
@Konstanti said in OpenVPN microtic - pfsense. Не видна сеть.:
попробуйте для начала включить tcpdump на ovpns2 интерфейсе и посмотреть уходят ли пакеты в сторону 10.0.9.2.
Подскажите как это сделать?
@pigbrother said in OpenVPN microtic - pfsense. Не видна сеть.:
Попробуйте на LAN первым правилом создать
IPv4 * LAN net * 192.168.3.0/24 * * noneЕсли я правильно понял это вот такое правило?
Результатов оно не дало.Вот так выглядят маршруты на mk
-
@rline как-то странно у Вас в микротике выглядит таблица маршрутизации
Обратите внимание (вчера была картинка) , таблица маршрутизации PF
10.0.9.1 /10.0.9.2 (адреса туннеля)
а у Вас на микротике
10.0.9.6/10.0.9.5 (адреса туннеля)
откуда взялись эти адреса ???поменяйте в настройках туннеля маску подсети на 10.0.9.0/30 вместо 10.0.9.0/24
-
@Konstanti said in OpenVPN microtic - pfsense. Не видна сеть.:
откуда взялись эти адреса ???
Это хороший вопрос. Не помню чтобы на микротике я вручную эти адреса прописывал.
Не знаю даст это что-нибудь или нет, но с хостов за pf я пингую 10.0.9.1 и 10.0.9.6 и с хостов за mk то же самое.
@Konstanti said in OpenVPN microtic - pfsense. Не видна сеть.:
поменяйте в настройках туннеля маску подсети на 10.0.9.0/30 вместо 10.0.9.0/24
Поменял. Ничего не дало.
-
@rline Посмотрите таблицы маршрутизации на обоих устройствах
и проверьте , что сейчас со стороны pf адрес туннеля 10.0.9.1 , а со стороны микротик 10.0.9.2
Должно быть так
Вы в 2-х местах поменяли настройки ?
у Вас же эти настройки продублированы в основных и в настройках клиентая бы , на Вашем месте , попробовал заблокировать настройки "client specific override" и проверить , как будут выглядеть таблицы маршрутизации устройств
отметьте раздел Disable this ovveride
или очистите поле tunnel network в "client specific override". Я подозреваю , что проблема с адресами именно из-за этого.
-
@Konstanti Сначала полностью отключил client specific override, а затем включил, но убрал подсеть 10,0,9,0 это ничего не поменяло
@Konstanti said in OpenVPN microtic - pfsense. Не видна сеть.:
проверьте , что сейчас со стороны pf адрес туннеля 10.0.9.1 , а со стороны микротик 10.0.9.2
а как это проверить?
-
@rline
Это видно по таблицам маршрутизации
Должно быть 10.0.9.1 и 10.0.9.2 - соответственнокак тут
только 10.0.9.0/24 должно поменяться на 10.0.9.0/30
-
@rline said in OpenVPN microtic - pfsense. Не видна сеть.:
Если я правильно понял это вот такое правило?
IPv4 * LAN net * 192.168.3.0/24 * * none
Ошиблись. Вместо TCP поставьте ANY.
И Source - LAN net.Нет ли на ПК за МТ включенных брандмауэров?
-
@pigbrother said in OpenVPN microtic - pfsense. Не видна сеть.:
Нет ли на ПК за МТ включенных брандмауэров?
Нет, всё отключено
@pigbrother said in OpenVPN microtic - pfsense. Не видна сеть.:
IPv4 * LAN net * 192.168.3.0/24 * * none
Ошиблись. Вместо TCP поставьте ANY.
И Source - LAN net.Так вроде бы нижнее правило более широкое. Есть ли смысл в вот таком отдельном правиле?
@Konstanti said in OpenVPN microtic - pfsense. Не видна сеть.:
Должно быть 10.0.9.1 и 10.0.9.2 - соответственно
Простите, я не очень понял. Если 10.0.9.5 неправильный адрес, то почему тогда пинги с мк на pf спокойно ходят?
Если всё-таки 10.0.9.5 придётся поменять на 10.0.9.2, то как это сделать? Ведь этот адрес динамически создаётся. -
Товарищи, мне интуиция тут подсказывает, что дело не в pf а в микротике. Может я правила как-то не так настроил? Взгляните пожалуйста.
-
@rline said in OpenVPN microtic - pfsense. Не видна сеть.:
Может я правила как-то не так настроил? Взгляните пожалуйста.
Навскидку. Входящее правило в firewall для для ovpn-клиента не нужно. Вы его создвали сами?
-
@pigbrother said in OpenVPN microtic - pfsense. Не видна сеть.:
Входящее правило в firewall для для ovpn-клиента не нужно. Вы его создвали сами?
Да, я его сам создал. Оно ни на что не повлияло, сейчас его отключил.
