OpenVPN+tap маршрутизация



  • Добрый день.
    Который день бьюсь над проблемой.
    У меня есть микротик, который не умеет tun, который не умеет UDP.
    Обычно у меня филиалы работают на tun + udp + сертификаты, поднятые на одном из компов.
    А тут надо отказаться от обычного клиента на компе и поднять на микротике.
    Для этого я настройил второй опенвпн-сервер
    В сервере в настройках в разделе Custom Options
    прописано правило: route 192.168.7.0 255.255.255.0;
    Но в маршруты pfSense это правило не попадает автоматически.
    Если поменять на tun - то микротик уже не может соединиться, но правило появляется.
    Итак, сегодня из филиала все наши внутренние ресурсы доступны, но если я попробую из офиса отправить пинг на локальный комп филиала - то он, предсказуемо, не доходит.
    Я пытался добавить интерфейс, гейтвэй и маршрут вручную на пфсенс, но почему-то не взлетело.
    Может кто-то поделится опытом или подскажет, куда копать?



  • Речь о TUN? В терминологии Микротик - IP.

    Я пытался добавить интерфейс, гейтвэй и маршрут вручную на пфсенс, но почему-то не взлетело.

    Этого делать  не нужно.

    Может кто-то поделится опытом или подскажет, куда копать?
    Для клиента Микротика на pfSense создан Client Specific Overrides с директивой iroute?



  • 2 oleg1969
    Доброе.
    Настал ваш час. Выручайте, гуру МТ.



  • @pigbrother:

    Речь о TUN? В терминологии Микротик - IP.

    Я пытался добавить интерфейс, гейтвэй и маршрут вручную на пфсенс, но почему-то не взлетело.

    Этого делать  не нужно.

    Может кто-то поделится опытом или подскажет, куда копать?
    Для клиента Микротика на pfSense создан Client Specific Overrides с директивой iroute?

    Создан. У меня есть 19 филиалов, которые умеют TUN. Микротик не умеет TUN. Когда поднимаешь сервер TAP на другом порту - он не делает добавление настроек в маршруты



  • Я, конечно, не гуру, но попробую:

    TUN. Микротик не умеет TUN

    Микротик не умеет UDP.

    TUN микротик умеет, в терминах Микротик это IP

    Вот работающие настойки с одного из Микротиков моих филиалов:
    0  R name="ovpn-out1" mac-address=хх:хх:хх:хх:хх:хх max-mtu=1500 connect-to=1.2.2.2 port=хххх mode=ip user="dummy" password="dummy" profile=default
          certificate=cert.crt_0 auth=sha1 cipher=aes256 add-default-route=no

    Вот конфиг работающего с Микротиками сервера:```
    dev ovpns4
    verb 1
    dev-type tun
    tun-ipv6
    dev-node /dev/tun4
    writepid /var/run/openvpn_server4.pid
    #user nobody
    #group nobody
    script-security 3
    daemon
    keepalive 10 60
    ping-timer-rem
    persist-tun
    persist-key
    proto tcp-server
    cipher AES-256-CBC
    auth SHA1
    up /usr/local/sbin/ovpn-linkup
    down /usr/local/sbin/ovpn-linkdown
    local 1.2.2.2
    tls-server
    server 10.11.12.0 255.255.255.0
    client-config-dir /var/etc/openvpn-csc/server4
    ifconfig 10.11.12.1 10.11.12.2
    tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'ovpns2' 1"
    lport хххх
    management /var/etc/openvpn/server4.sock unix
    push "route 10.0.2.0 255.255.255.0"
    ca /var/etc/openvpn/server4.ca
    cert /var/etc/openvpn/server4.cert
    key /var/etc/openvpn/server4.key
    dh /etc/dh-parameters.1024
    persist-remote-ip
    float
    topology net30

    
    _Когда поднимаешь сервер TAP на другом порту - он не делает добавление настроек в маршруты_
    TAP и не должен добавлять маршуруты - это L2, TUN - это L3, и в нем маршруты добавляются и работают.
    
    Есть также тонкость, если Микротику нужно передать маршрут в другую (не в LAN за pfSense) сеть, но это не ваш случай


  • Спасибо, ув. pigbrother.

    Есть также тонкость, если Микротику нужно передать маршрут в другую (не в LAN за pfSense) сеть, но это не ваш случай

    Можно ли подробнее ?



  • @werter:

    Спасибо, ув. pigbrother.

    Есть также тонкость, если Микротику нужно передать маршрут в другую (не в LAN за pfSense) сеть, но это не ваш случай

    Можно ли подробнее ?

    Можно.
    Если мы хотим передать клиенту OVPN Микротика маршрут в другую (не в LAN за pfSense) сеть через push route то это будет выглядеть так:
    push route "х.х.2.0 255.255.255.0 y.y.y.1"
    где
    х.х.2.0 - нужная сеть
    y.y.y.1 - " IP "серверного" конца туннеля между Микротик и pfSense.

    "Другая" сеть может быть через еще один экземпляр OVPN-сервера\IPSEC\вероятно-любой, маршрут к которой есть у pfSense.
    Естественно, директивы route в нужные сети для экземпляра сервера Микротик<->pfSense - обязательны.



  • Спасибо )


Log in to reply