Маршрутизация в OpenVPN (SSL/TLS) P-t-P с mikrotik
-
Пытаюсь настроить туннель между двумя сетями на центральной pfSense (gate), на удаленной mikrotik
1. Создал OVPN сервер, создал ключи
2. Установил ключи в mikrotik канал поднялся,2.1 mikrotik сеть за gate видит,
2.2 Адрес клиента в туннеле пингуется сеть за клиентом нет.
2.3 gate за mikrotik сеть не видит, хотя роут в gate присутствует.Собрал демо c pfSense в качестве клиента, ситуация аналогичная.
Собрал P-t-P через shared key заработало нормально.
Заметил что при настройках с shared key скрывается поле "Local network".
pfSense 2.3.4 стоит на виртуальной машине.
Подскажите куда копать по решению данной проблемы.
-
2.3 gate за mikrotik сеть не видит, хотя роут в gate присутствует.
Что вы подразумеваете под этим? Есть маршрут - значит есть и виденье сети, то что пакет может где-то по дороге быть остановлен firewall'ом или асимметричной маршрутизацией — это уже совсем другие проблемы.
Пинговать сеть за клиентом не обязательно, чтобы проверить доступность сети — достаточно LAN интерфейс удаленного маршрутизатора.
-
Что вы подразумеваете под этим? Есть маршрут - значит есть и виденье сети, то что пакет может где-то по дороге быть остановлен firewall'ом или асимметричной маршрутизацией — это уже совсем другие проблемы.
Пинговать сеть за клиентом не обязательно, чтобы проверить доступность сети — достаточно LAN интерфейс удаленного маршрутизатора.Нет пинга LAN интерфейса клиентского подключения c сервера OVPN
На сервере
10.0.9.0/24 10.0.9.2 UGS 0 1500 ovpns3
10.0.9.1 link#9 UHS 0 16384 lo0
10.0.9.2 link#9 UH 3 1500 ovpns3
192.168.56.0/24 10.0.9.2 UGS 3 1500 ovpns3LAN 192.168.151.1
на клиенте (сейчас pf)
10.0.9.0/24 10.0.9.1 UGS 0 1500 ovpnc1
10.0.9.1 link#7 UH 0 1500 ovpnc1
10.0.9.2 link#7 UHS 0 16384 lo0
192.168.151.0/24 10.0.9.1 UGS 0 1500 ovpnc1LAN 192.168.56.10
в firewall для OVPN с обоих сторон IPv4* pass any
PING 192.168.151.1 (192.168.151.1): 56 data bytes
64 bytes from 192.168.151.1: icmp_seq=0 ttl=64 time=88.336 msPING 192.168.56.10 (192.168.56.10): 56 data bytes
–- 192.168.56.10 ping statistics ---
3 packets transmitted, 0 packets received, 100.0% packet lossЛогировал входящие пакеты микротиком (на клиенте), их просто нет.
из специфичного
1. настроены 2 канала IPSec, но подсети не пересекаются
2. настроены 2 RA сервера OVPN
2.1 для одного настроен проброс портов до FTP (клиент не умеет нормально маршрутизировать)
-
Доброе.
Добавьте на в fw пф на ЛАН явное разреш. правило прохождения трафика из LAN subnet в удаленную сеть. Поставьте его выше всех.
-
Доброе.
Добавьте на в fw пф на ЛАН явное разреш. правило прохождения трафика из LAN subnet в удаленную сеть. Поставьте его выше всех.Доброе утро.
Поставил на 192.168.151.1-
-
- LAN Address 80 * * Anti-Lockout Rule
IPv4 * LAN net * 192.168.56.10/24 * * none
IPv4 * LAN net * * * * none Default allow LAN to any rule
не помогло, для LAN и так разрешено все.
- LAN Address 80 * * Anti-Lockout Rule
-
-
-
Повторно провел эксперимент, перевел туннель на shared key, остальное ничего не трогал, пинг до LAN клиента появился.
-
Микротик не умеет работать с shared key.
Если интересно - приведу настройки Микротиков, работающие с pfSense.
-
Микротик не умеет работать с shared key.
Если интересно - приведу настройки Микротиков, работающие с pfSense.
1. запустил pf+mikrotik (ssl) канал поднялся, ping до LAN клиента нет
2. запустил pf+pf (ssl) канал поднялся, ping до LAN клиента нет
3. запустил pf+pf (key) канал поднялся, ping до LAN клиента естьесть подозрения в баге при работе pf PtP c SSL, пока не могу понять где посмотреть ошибку (в логах все чисто)
если есть настройка IPSec с быстрым восстановлением канала (сейчас паузы разрыва сек 5-10, пользователями RDP ощущаются) буду благодарен.
-
А вы не забываете про iroute (IPv4 Remote Network/s) в Client Specific Overrides?
настроены 2 канала IPSec, но подсети не пересекаются
эти 2 канала IPSec в другие сети, не те, между которыми пытаетесь организовать OVPN?
-
А вы не забываете про iroute (IPv4 Remote Network/s) в Client Specific Overrides?
настроены 2 канала IPSec, но подсети не пересекаются
эти 2 канала IPSec в другие сети, не те, между которыми пытаетесь организовать OVPN?Из документации по OVPN:
–iroute network [netmask]
This directive can be used to route a fixed subnet from the server to a particular client
Зачем она нужна если на сервере стоит PtP и указана remote network?
Таблицу маршрутизации выше показывал.IPSec на сети 192.168.1.0/24 и 192.168.89.0/24
вариант проверить на свежеустановленном pf с микротиком (возможно перекосило после обновления).
-
1. запустил pf+mikrotik (ssl) канал поднялся, ping до LAN клиента нет
Для доступа к сети клиента из сети за сервером и нужен iroute или IPv4 Remote Network/s в Client Specific Overrides.Зачем она нужна если на сервере стоит PtP и указана remote network?
PtP - это peer-to-peer?
Этого недостаточно. Без iroute доступа за клиент не будет.Цитата:
IPv4 Local Network:
These are the IPv4 networks that will be routed to this client specifically using iroute, so that a site-to-site VPN can be established. Expressed as a comma-separated list of one or more CIDR ranges. May be left blank if there are no client-side networks to be routed.
NOTE: Remember to add these subnets to the IPv4 Remote Networks list on the corresponding OpenVPN server settings.
-
Для доступа к сети клиента из сети за сервером и нужен iroute или IPv4 Remote Network/s в Client Specific Overrides.
Разобрался
Remote network(s) в настройках сервера определяет какие сети могут быть за этим OVPN, соответствует команде route
Remote network(s) в Client Specific Overrides определяет какая сеть доступна за этим коннектом, соответствует команде irouteнемного сбивает информация в Diagnostics / Routes
192.168.56.0/24 10.0.9.2 UGS 3 1500 ovpns3
192.168.88.0/24 10.0.9.2 UGS 3 1500 ovpns3хотя по факту 192.168.56.0/24 роутится на 10.0.9.3
Благодарю за помощь.