OpenVPN microtic - pfsense. Не видна сеть.

Konstanti

@rline попробуйте для начала включить tcpdump на ovpns2 интерфейсе и посмотреть уходят ли пакеты в сторону 10.0.9.2.
Как пингуете 10.0.9.2 ?
С любого хоста 1.0/24 или из WebGUI PFSense ?

pigbrother

@rline said in OpenVPN microtic - pfsense. Не видна сеть.:

Не пингует. Я так понимаю надо микротик крутить, а не pf?

Использую Микротики с PF давно и плодотворно.
Никаких настроек на них, кроме поднятия клиента OpenVPN не делал.
Одно но. Версии RouterOS у меня младше, возможно в 6.4.х что-то изменилось.

Попробуйте на LAN первым правилом создать
IPv4 * LAN net * 192.168.3.0/24 * * none

rline

@Konstanti said in OpenVPN microtic - pfsense. Не видна сеть.:

Как пингуете 10.0.9.2 ?
С любого хоста 1.0/24 или из WebGUI PFSense ?

Попробовал и с хоста и через gui результат одинаков.

@Konstanti said in OpenVPN microtic - pfsense. Не видна сеть.:

попробуйте для начала включить tcpdump на ovpns2 интерфейсе и посмотреть уходят ли пакеты в сторону 10.0.9.2.

Подскажите как это сделать?

@pigbrother said in OpenVPN microtic - pfsense. Не видна сеть.:

Попробуйте на LAN первым правилом создать
IPv4 * LAN net * 192.168.3.0/24 * * none

Если я правильно понял это вот такое правило?

Результатов оно не дало.

Вот так выглядят маршруты на mk

Konstanti

@rline как-то странно у Вас в микротике выглядит таблица маршрутизации

Обратите внимание (вчера была картинка) , таблица маршрутизации PF
10.0.9.1 /10.0.9.2 (адреса туннеля)
а у Вас на микротике
10.0.9.6/10.0.9.5 (адреса туннеля)
откуда взялись эти адреса ???

поменяйте в настройках туннеля маску подсети на 10.0.9.0/30 вместо 10.0.9.0/24

rline

@Konstanti said in OpenVPN microtic - pfsense. Не видна сеть.:

откуда взялись эти адреса ???

Это хороший вопрос. Не помню чтобы на микротике я вручную эти адреса прописывал.

Не знаю даст это что-нибудь или нет, но с хостов за pf я пингую 10.0.9.1 и 10.0.9.6 и с хостов за mk то же самое.

@Konstanti said in OpenVPN microtic - pfsense. Не видна сеть.:

поменяйте в настройках туннеля маску подсети на 10.0.9.0/30 вместо 10.0.9.0/24

Поменял. Ничего не дало.

Konstanti

@rline Посмотрите таблицы маршрутизации на обоих устройствах
и проверьте , что сейчас со стороны pf адрес туннеля 10.0.9.1 , а со стороны микротик 10.0.9.2
Должно быть так
Вы в 2-х местах поменяли настройки ?
у Вас же эти настройки продублированы в основных и в настройках клиента

я бы , на Вашем месте , попробовал заблокировать настройки "client specific override" и проверить , как будут выглядеть таблицы маршрутизации устройств

отметьте раздел Disable this ovveride

или очистите поле tunnel network в "client specific override". Я подозреваю , что проблема с адресами именно из-за этого.

rline

@Konstanti Сначала полностью отключил client specific override, а затем включил, но убрал подсеть 10,0,9,0 это ничего не поменяло

@Konstanti said in OpenVPN microtic - pfsense. Не видна сеть.:

проверьте , что сейчас со стороны pf адрес туннеля 10.0.9.1 , а со стороны микротик 10.0.9.2

а как это проверить?

Konstanti

@rline
Это видно по таблицам маршрутизации

Должно быть 10.0.9.1 и 10.0.9.2 - соответственно

как тут

только 10.0.9.0/24 должно поменяться на 10.0.9.0/30

pigbrother

@rline said in OpenVPN microtic - pfsense. Не видна сеть.:

Если я правильно понял это вот такое правило?

IPv4 * LAN net * 192.168.3.0/24 * * none
Ошиблись. Вместо TCP поставьте ANY.
И Source - LAN net.

Нет ли на ПК за МТ включенных брандмауэров?

rline

@pigbrother

@pigbrother said in OpenVPN microtic - pfsense. Не видна сеть.:

Нет ли на ПК за МТ включенных брандмауэров?

Нет, всё отключено

@pigbrother said in OpenVPN microtic - pfsense. Не видна сеть.:

IPv4 * LAN net * 192.168.3.0/24 * * none
Ошиблись. Вместо TCP поставьте ANY.
И Source - LAN net.

Так вроде бы нижнее правило более широкое. Есть ли смысл в вот таком отдельном правиле?

@Konstanti said in OpenVPN microtic - pfsense. Не видна сеть.:

Должно быть 10.0.9.1 и 10.0.9.2 - соответственно

Простите, я не очень понял. Если 10.0.9.5 неправильный адрес, то почему тогда пинги с мк на pf спокойно ходят?
Если всё-таки 10.0.9.5 придётся поменять на 10.0.9.2, то как это сделать? Ведь этот адрес динамически создаётся.

rline

Товарищи, мне интуиция тут подсказывает, что дело не в pf а в микротике. Может я правила как-то не так настроил? Взгляните пожалуйста.

pigbrother

@rline said in OpenVPN microtic - pfsense. Не видна сеть.:

Может я правила как-то не так настроил? Взгляните пожалуйста.

Навскидку. Входящее правило в firewall для для ovpn-клиента не нужно. Вы его создвали сами?

rline

@pigbrother said in OpenVPN microtic - pfsense. Не видна сеть.:

Входящее правило в firewall для для ovpn-клиента не нужно. Вы его создвали сами?

Да, я его сам создал. Оно ни на что не повлияло, сейчас его отключил.

pigbrother

@rline когда-то, еще до обновления форума? ЕМНИП, приводил примеры конфигов\настроек для связки MT+PF.
Вот:
https://forum.netgate.com/topic/120219/openvpn-pfsense-%D0%B8-mikrotik/8
У меня так работают несколько филиалов, но пример для одного.

rubic

@rline said in OpenVPN microtic - pfsense. Не видна сеть.:

Простите, я не очень понял. Если 10.0.9.5 неправильный адрес, то почему тогда пинги с мк на pf спокойно ходят?
Если всё-таки 10.0.9.5 придётся поменять на 10.0.9.2, то как это сделать? Ведь этот адрес динамически создаётся.

У вас старый pfSense, в нем по умолчанию в OpenVPN topology net30, поэтому народ не понимает. Можно в Advanced настройках сервера прописать 'topology subnet'. Хотя сущностно это вряд ли что-то изменит, но людям ваш сетап станет как бы понятнее)

rline

Эпопея продолжается. Переустановил pfsense, поставил версию 2.4.4. Микротик сбросил. Перенастроил всё заново с новыми сертификатами. Сам vpn поднимается без проблем, пинги по туннелю 10.0.9.0 ходят и туда и обратно. А вот сети 192.168.1.0 и 192.168.3.0 между собой не пингуются. Подскажите что крутить ФВ или маршруты?
Настройки сейчас выглядят так:

Konstanti

@rline Здр
Ну , так , для напоминания
ICMP - это отдельный протокол ( не TCP и не UDP) - если что , смотрю правила Openvpn интерфейса

правило 2 на lan интерфейсе - "кривое" - никогда работать не будет (на этой закладке правила работают на вход, а Вы хотели сделать исходящее правило)
Оно вообще не нужно , удалите его
вот пример типового правила на lan интерфейсе в понимании PF
pass in quick on $LAN inet proto tcp from 192.168.1.0/24

обратите внимание на слово "in" , которое означает направление движения трафика

werter

@rline
На время теста разрешите всё-всем-везде в fw во вкладках ЛАН и Опенвпн.

Запись в Custom options - лишнее. Вверху для этого пункт есть (Inter-clietn-communication)
И галку на Dynamic ip я бы поставил.

rline

Мне кажется я что-то в микротике недокрутил, но не могу понять что

Mister511

@rline маршрут на микротике 192.168.1.0/24 через интерфейс ovpn
Скрин маршрутов пф