PfSense OpenVPN Server dan Mikrotik OpenVPN Client (Site-to-Site)

agismaniax

Sebelumnya ane sdh berhasil bikin OpenVPN Remote Access utk Mobile User (Road-Warrior). Nah skrg mau bikin OpenVPN Site-to-Site. pfSense sbg OpenVPN Server dan Mikrotik sbg OpenVPN Client. Gugling kesana-sini, cuman nemu mini how-to dari link ini https://forum.pfsense.org/index.php?topic=108627.0

Sudah ane replikasi caranya, OpenVPN berhasil konek, tp msh belum bisa ping dari mikrotik ke lan di blkg pfsense dan sebaliknya dari pfsense ke lan di blkg mikrotik. Ada yg punya pengalaman seting kayak begini? Terutama utk mikrotik yg menggunakan dial-up modem 3G/4G?

agismaniax

Sdh berhasil !!!  ;D ;D ;D

Berikut ini mini-howto-nya (hampir sama dg link di atas) dan topologinya:
LAN (172.16.1.0/24) –--- (172.16.1.252/24) pfSense (123.123.123.123) ----- INTERNET ----- (modem 3G/4G) mikrotik (172.100.2.1) ----- (172.100.2.0/24) Remote LAN

pfSense:

1. System > Cert Manager

• Tab CA - add ca

• Descriptive name: vpn-tunnel-ca

• Method: Create an internal CA

• Save

• Export vpn-tunner-ca "CA cert"

• Tab Certificates - add cert

• Method: Create an internal cert

• Descriptive name: vpn-tunnel-cert

• Certificate authority: vpn-tunnel-ca

• Common name: vpn-tunnel-cert

• Save

• Tab Certificates - add cert

• Method: Create an internal cert

• Descriptive name: mikrotik-vpn

• Certificate authority: vpn-tunnel-ca

• Common name: mikrotik-vpn

• Save

• Export mikrotik-vpn "cert" dan "key"

2. VPN > OpenVPN

• Tab Server - add server

• Server Mode: Peer-to-Peer (SSL/TLS)

• Protocol: tcp

• Device mode: tun

• Interface: WAN

• Local port: 10001

• TLS authentication: uncheck

• Server certificate: vpn-tunnel-cert

• Encryption algorithm: BD-CBC (128bit)

• Auto Digest algorithm: SHA1 (160bit)

• IP Tunnel network: 10.10.2.0/29

• IP Local network: 172.16.1.0/24

• IP Remote network: 172.100.2.0/24

• Disable IPv6: check

• Advanced: client-to-client;

• Save

• Tab Client Specific Overrides - add csc

• Common name: mikrotik-vpn

• Advanced: iroute 172.100.2.0 255.255.255.0;

• Save

3. Firewall

• Tab WAN > Buka incoming port 10001 destination WAN
• Tab OpenVPN > tambah rule IPv4 from any to any
• Tab LAN > allow IPv4 from Lan net to any

Mikrotik:

1. Config router spy bisa diakses lewat LAN

• Pastikan modem 3G/4G sdh aktif
• Pastikan DHCP Server sdh aktif
• Kosongkan atau disable semua rule di NAT
• Kopikan dan import file vpn-tunnel-ca.crt, mikrotik-vpn.crt dan mikrotik-vpn.key

2. PPP -> Interface - create new OVPN Client:

• Name: ovpn-office
• Connect To: 123.123.123.123
• Port: 10001
• Mode: ip
• User: any
• Certificate: mikrotik-vpn
• Auth: sha 1
• Cipher: blowfish 128
• Add Default Route: uncheck

3. Aktifkan Interface OVPN Client tersebut dan cek ping dari masing2 LAN.

Selamat mencoba

agismaniax

Hasil ping, traceroute dan network sharing.

agismaniax

ada update lagi…

kahardreams

@agismaniax:

ada update lagi…

makasih mas panduannya,,

saya sedang kesulitan dengan open vpn 2 wan mas..
jadi skenariaonya saya punya 2 wan dari 2 ISP berbeda dengan gateway berbeda :
ISP 1 sebagai open vpn server 1
isp 2 sebagai open vpn server 2

kira2 kira setupnya gmn ya mas?

mohon bimbingannya… makasih sebelumnya mas

contoh topologinya seperti ini..

agismaniax

@kahardreams:

@agismaniax:

ada update lagi…

makasih mas panduannya,,

saya sedang kesulitan dengan open vpn 2 wan mas..
jadi skenariaonya saya punya 2 wan dari 2 ISP berbeda dengan gateway berbeda :
ISP 1 sebagai open vpn server 1
isp 2 sebagai open vpn server 2

kira2 kira setupnya gmn ya mas?

mohon bimbingannya… makasih sebelumnya mas

contoh topologinya seperti ini..

kalau di OpenVPN Server ada dua IP WAN, lalu clientnya ada yg Road-Warrior atau Site-to-Site, bisa diset ke salah satu IP WAN saja. tp kalau openvpn client diset failover, ribet dan belum pernah coba.
kayaknya topologi ini mau ngejar SLA dg koneksi internet. gak bakal dapat gan. mending pakai VPN-IP atau Metro-E sbg primary, lalu OpenVPN (internet) sbg backup.

kahardreams

@agismaniax:

kalau di OpenVPN Server ada dua IP WAN, lalu clientnya ada yg Road-Warrior atau Site-to-Site, bisa diset ke salah satu IP WAN saja. tp kalau openvpn client diset failover, ribet dan belum pernah coba.
kayaknya topologi ini mau ngejar SLA dg koneksi internet. gak bakal dapat gan. mending pakai VPN-IP atau Metro-E sbg primary, lalu OpenVPN (internet) sbg backup.

ternyata bisa gan dengan 2 ISP,
saya sudah coba, seperti tutorial yg diatas dengan ditambah CA baru tiap openvpn

terima kasih banyak gan..

agismaniax

@kahardreams:

@agismaniax:

kalau di OpenVPN Server ada dua IP WAN, lalu clientnya ada yg Road-Warrior atau Site-to-Site, bisa diset ke salah satu IP WAN saja. tp kalau openvpn client diset failover, ribet dan belum pernah coba.
kayaknya topologi ini mau ngejar SLA dg koneksi internet. gak bakal dapat gan. mending pakai VPN-IP atau Metro-E sbg primary, lalu OpenVPN (internet) sbg backup.

ternyata bisa gan dengan 2 ISP,
saya sudah coba, seperti tutorial yg diatas dengan ditambah CA baru tiap openvpn

terima kasih banyak gan..

boleh dishare config-nya mungkin berguna buat yg lain… thanks.

benz28

@agismaniax Kalo untuk remote mikrotiknya sendiri (dari luar jaringan) gimana mas? Mohon bantuan konfignya soalnya saya baru belajar pfsense