Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Маршрутизация в OpenVPN (SSL/TLS) P-t-P с mikrotik

    Russian
    4
    12
    1434
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      malikov-pro last edited by

      Пытаюсь настроить туннель между двумя сетями на центральной pfSense (gate), на удаленной mikrotik
      1. Создал OVPN сервер, создал ключи
      2. Установил ключи в mikrotik канал поднялся,

      2.1 mikrotik сеть за gate видит,
      2.2 Адрес клиента в туннеле пингуется сеть за клиентом нет.
      2.3 gate за mikrotik сеть не видит, хотя роут в gate присутствует.

      Собрал демо c pfSense в качестве клиента, ситуация аналогичная.

      Собрал P-t-P через shared key заработало нормально.

      Заметил что при настройках с shared key скрывается поле "Local network".

      pfSense 2.3.4 стоит на виртуальной машине.

      Подскажите куда копать по решению данной проблемы.

      1 Reply Last reply Reply Quote 0
      • P
        PbIXTOP last edited by

        @malikov-pro:

        2.3 gate за mikrotik сеть не видит, хотя роут в gate присутствует.

        Что вы подразумеваете под этим? Есть маршрут - значит есть и виденье сети, то что пакет может где-то по дороге быть остановлен firewall'ом или асимметричной маршрутизацией — это уже совсем другие проблемы.
        Пинговать сеть за клиентом не обязательно, чтобы проверить доступность сети — достаточно LAN интерфейс удаленного маршрутизатора.

        1 Reply Last reply Reply Quote 0
        • M
          malikov-pro last edited by

          @PbIXTOP:

          Что вы подразумеваете под этим? Есть маршрут - значит есть и виденье сети, то что пакет может где-то по дороге быть остановлен firewall'ом или асимметричной маршрутизацией — это уже совсем другие проблемы.
          Пинговать сеть за клиентом не обязательно, чтобы проверить доступность сети — достаточно LAN интерфейс удаленного маршрутизатора.

          Нет пинга LAN интерфейса клиентского подключения c сервера OVPN

          На сервере
          10.0.9.0/24 10.0.9.2 UGS 0 1500 ovpns3
          10.0.9.1 link#9 UHS 0 16384 lo0
          10.0.9.2 link#9 UH 3 1500 ovpns3
          192.168.56.0/24 10.0.9.2 UGS 3 1500 ovpns3

          LAN 192.168.151.1

          на клиенте (сейчас pf)
          10.0.9.0/24 10.0.9.1 UGS 0 1500 ovpnc1
          10.0.9.1 link#7 UH 0 1500 ovpnc1
          10.0.9.2 link#7 UHS 0 16384 lo0
          192.168.151.0/24 10.0.9.1 UGS 0 1500 ovpnc1

          LAN 192.168.56.10

          в firewall для OVPN с обоих сторон IPv4* pass any

          PING 192.168.151.1 (192.168.151.1): 56 data bytes
          64 bytes from 192.168.151.1: icmp_seq=0 ttl=64 time=88.336 ms

          PING 192.168.56.10 (192.168.56.10): 56 data bytes
          –- 192.168.56.10 ping statistics ---
          3 packets transmitted, 0 packets received, 100.0% packet loss

          Логировал входящие пакеты микротиком (на клиенте), их просто нет.

          из специфичного
          1. настроены 2 канала IPSec, но подсети не пересекаются
          2. настроены 2 RA сервера OVPN
          2.1 для одного настроен проброс портов до FTP (клиент не умеет нормально маршрутизировать)

          1 Reply Last reply Reply Quote 0
          • werter
            werter last edited by

            Доброе.
            Добавьте на в fw пф на ЛАН явное разреш. правило прохождения трафика из LAN subnet в удаленную сеть. Поставьте его выше всех.

            1 Reply Last reply Reply Quote 0
            • M
              malikov-pro last edited by

              @werter:

              Доброе.
              Добавьте на в fw пф на ЛАН явное разреш. правило прохождения трафика из LAN subnet в удаленную сеть. Поставьте его выше всех.

              Доброе утро.
              Поставил на 192.168.151.1

                  • LAN Address 80 * * Anti-Lockout Rule
                    IPv4 * LAN net * 192.168.56.10/24 * * none    
                    IPv4 * LAN net * * * * none Default allow LAN to any rule    
                    не помогло, для LAN и так разрешено все.
              1 Reply Last reply Reply Quote 0
              • M
                malikov-pro last edited by

                Повторно провел эксперимент, перевел туннель на shared key, остальное ничего не трогал, пинг до LAN клиента появился.

                1 Reply Last reply Reply Quote 0
                • P
                  pigbrother last edited by

                  Микротик не умеет работать с shared key.

                  Если интересно - приведу настройки Микротиков, работающие с pfSense.

                  1 Reply Last reply Reply Quote 0
                  • M
                    malikov-pro last edited by

                    @pigbrother:

                    Микротик не умеет работать с shared key.

                    Если интересно - приведу настройки Микротиков, работающие с pfSense.

                    1. запустил pf+mikrotik (ssl) канал поднялся, ping до LAN клиента нет
                    2. запустил pf+pf (ssl) канал поднялся, ping до LAN клиента нет
                    3. запустил pf+pf (key) канал поднялся, ping до LAN клиента есть

                    есть подозрения в баге при работе pf PtP c SSL, пока не могу понять где посмотреть ошибку (в логах все чисто)

                    если есть настройка IPSec с быстрым восстановлением канала (сейчас паузы разрыва сек 5-10, пользователями RDP ощущаются) буду благодарен.

                    1 Reply Last reply Reply Quote 0
                    • P
                      pigbrother last edited by

                      А вы не забываете про iroute (IPv4 Remote Network/s) в Client Specific Overrides?

                      настроены 2 канала IPSec, но подсети не пересекаются
                      эти 2 канала IPSec в другие сети, не те, между которыми пытаетесь организовать OVPN?

                      1 Reply Last reply Reply Quote 0
                      • M
                        malikov-pro last edited by

                        @pigbrother:

                        А вы не забываете про iroute (IPv4 Remote Network/s) в Client Specific Overrides?

                        настроены 2 канала IPSec, но подсети не пересекаются
                        эти 2 канала IPSec в другие сети, не те, между которыми пытаетесь организовать OVPN?

                        Из документации по OVPN:
                        –iroute network [netmask]
                        This directive can be used to route a fixed subnet from the server to a particular client
                        Зачем она нужна если на сервере стоит PtP и указана remote network?
                        Таблицу маршрутизации выше показывал.

                        IPSec на сети 192.168.1.0/24 и 192.168.89.0/24

                        вариант проверить на свежеустановленном pf с микротиком (возможно перекосило после обновления).

                        1 Reply Last reply Reply Quote 0
                        • P
                          pigbrother last edited by

                          1. запустил pf+mikrotik (ssl) канал поднялся, ping до LAN клиента нет
                          Для доступа к сети клиента из сети за сервером и нужен  iroute или  IPv4 Remote Network/s в Client Specific Overrides.

                          Зачем она нужна если на сервере стоит PtP и указана remote network?
                          PtP - это peer-to-peer?
                          Этого недостаточно. Без iroute доступа за клиент не будет.

                          Цитата:
                          IPv4 Local Network:
                          These are the IPv4 networks that will be routed to this client specifically using iroute, so that a site-to-site VPN can be established. Expressed as a comma-separated list of one or more CIDR ranges. May be left blank if there are no client-side networks to be routed.
                          NOTE: Remember to add these subnets to the IPv4 Remote Networks list on the corresponding OpenVPN server settings.

                          1 Reply Last reply Reply Quote 0
                          • M
                            malikov-pro last edited by

                            @pigbrother:

                            Для доступа к сети клиента из сети за сервером и нужен  iroute или  IPv4 Remote Network/s в Client Specific Overrides.

                            Разобрался

                            Remote network(s) в настройках сервера определяет какие сети могут быть за этим OVPN, соответствует команде route
                            Remote network(s) в Client Specific Overrides определяет какая сеть доступна за этим коннектом, соответствует команде iroute

                            немного сбивает информация в Diagnostics / Routes
                            192.168.56.0/24 10.0.9.2 UGS 3 1500 ovpns3
                            192.168.88.0/24 10.0.9.2 UGS 3 1500 ovpns3

                            хотя по факту 192.168.56.0/24 роутится на 10.0.9.3

                            Благодарю за помощь.

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post