Маршрутизация в OpenVPN (SSL/TLS) P-t-P с mikrotik



  • Пытаюсь настроить туннель между двумя сетями на центральной pfSense (gate), на удаленной mikrotik
    1. Создал OVPN сервер, создал ключи
    2. Установил ключи в mikrotik канал поднялся,

    2.1 mikrotik сеть за gate видит,
    2.2 Адрес клиента в туннеле пингуется сеть за клиентом нет.
    2.3 gate за mikrotik сеть не видит, хотя роут в gate присутствует.

    Собрал демо c pfSense в качестве клиента, ситуация аналогичная.

    Собрал P-t-P через shared key заработало нормально.

    Заметил что при настройках с shared key скрывается поле "Local network".

    pfSense 2.3.4 стоит на виртуальной машине.

    Подскажите куда копать по решению данной проблемы.



  • @malikov-pro:

    2.3 gate за mikrotik сеть не видит, хотя роут в gate присутствует.

    Что вы подразумеваете под этим? Есть маршрут - значит есть и виденье сети, то что пакет может где-то по дороге быть остановлен firewall'ом или асимметричной маршрутизацией — это уже совсем другие проблемы.
    Пинговать сеть за клиентом не обязательно, чтобы проверить доступность сети — достаточно LAN интерфейс удаленного маршрутизатора.



  • @PbIXTOP:

    Что вы подразумеваете под этим? Есть маршрут - значит есть и виденье сети, то что пакет может где-то по дороге быть остановлен firewall'ом или асимметричной маршрутизацией — это уже совсем другие проблемы.
    Пинговать сеть за клиентом не обязательно, чтобы проверить доступность сети — достаточно LAN интерфейс удаленного маршрутизатора.

    Нет пинга LAN интерфейса клиентского подключения c сервера OVPN

    На сервере
    10.0.9.0/24 10.0.9.2 UGS 0 1500 ovpns3
    10.0.9.1 link#9 UHS 0 16384 lo0
    10.0.9.2 link#9 UH 3 1500 ovpns3
    192.168.56.0/24 10.0.9.2 UGS 3 1500 ovpns3

    LAN 192.168.151.1

    на клиенте (сейчас pf)
    10.0.9.0/24 10.0.9.1 UGS 0 1500 ovpnc1
    10.0.9.1 link#7 UH 0 1500 ovpnc1
    10.0.9.2 link#7 UHS 0 16384 lo0
    192.168.151.0/24 10.0.9.1 UGS 0 1500 ovpnc1

    LAN 192.168.56.10

    в firewall для OVPN с обоих сторон IPv4* pass any

    PING 192.168.151.1 (192.168.151.1): 56 data bytes
    64 bytes from 192.168.151.1: icmp_seq=0 ttl=64 time=88.336 ms

    PING 192.168.56.10 (192.168.56.10): 56 data bytes
    –- 192.168.56.10 ping statistics ---
    3 packets transmitted, 0 packets received, 100.0% packet loss

    Логировал входящие пакеты микротиком (на клиенте), их просто нет.

    из специфичного
    1. настроены 2 канала IPSec, но подсети не пересекаются
    2. настроены 2 RA сервера OVPN
    2.1 для одного настроен проброс портов до FTP (клиент не умеет нормально маршрутизировать)



  • Доброе.
    Добавьте на в fw пф на ЛАН явное разреш. правило прохождения трафика из LAN subnet в удаленную сеть. Поставьте его выше всех.



  • @werter:

    Доброе.
    Добавьте на в fw пф на ЛАН явное разреш. правило прохождения трафика из LAN subnet в удаленную сеть. Поставьте его выше всех.

    Доброе утро.
    Поставил на 192.168.151.1

        • LAN Address 80 * * Anti-Lockout Rule
          IPv4 * LAN net * 192.168.56.10/24 * * none    
          IPv4 * LAN net * * * * none Default allow LAN to any rule    
          не помогло, для LAN и так разрешено все.


  • Повторно провел эксперимент, перевел туннель на shared key, остальное ничего не трогал, пинг до LAN клиента появился.



  • Микротик не умеет работать с shared key.

    Если интересно - приведу настройки Микротиков, работающие с pfSense.



  • @pigbrother:

    Микротик не умеет работать с shared key.

    Если интересно - приведу настройки Микротиков, работающие с pfSense.

    1. запустил pf+mikrotik (ssl) канал поднялся, ping до LAN клиента нет
    2. запустил pf+pf (ssl) канал поднялся, ping до LAN клиента нет
    3. запустил pf+pf (key) канал поднялся, ping до LAN клиента есть

    есть подозрения в баге при работе pf PtP c SSL, пока не могу понять где посмотреть ошибку (в логах все чисто)

    если есть настройка IPSec с быстрым восстановлением канала (сейчас паузы разрыва сек 5-10, пользователями RDP ощущаются) буду благодарен.



  • А вы не забываете про iroute (IPv4 Remote Network/s) в Client Specific Overrides?

    настроены 2 канала IPSec, но подсети не пересекаются
    эти 2 канала IPSec в другие сети, не те, между которыми пытаетесь организовать OVPN?



  • @pigbrother:

    А вы не забываете про iroute (IPv4 Remote Network/s) в Client Specific Overrides?

    настроены 2 канала IPSec, но подсети не пересекаются
    эти 2 канала IPSec в другие сети, не те, между которыми пытаетесь организовать OVPN?

    Из документации по OVPN:
    –iroute network [netmask]
    This directive can be used to route a fixed subnet from the server to a particular client
    Зачем она нужна если на сервере стоит PtP и указана remote network?
    Таблицу маршрутизации выше показывал.

    IPSec на сети 192.168.1.0/24 и 192.168.89.0/24

    вариант проверить на свежеустановленном pf с микротиком (возможно перекосило после обновления).



  • 1. запустил pf+mikrotik (ssl) канал поднялся, ping до LAN клиента нет
    Для доступа к сети клиента из сети за сервером и нужен  iroute или  IPv4 Remote Network/s в Client Specific Overrides.

    Зачем она нужна если на сервере стоит PtP и указана remote network?
    PtP - это peer-to-peer?
    Этого недостаточно. Без iroute доступа за клиент не будет.

    Цитата:
    IPv4 Local Network:
    These are the IPv4 networks that will be routed to this client specifically using iroute, so that a site-to-site VPN can be established. Expressed as a comma-separated list of one or more CIDR ranges. May be left blank if there are no client-side networks to be routed.
    NOTE: Remember to add these subnets to the IPv4 Remote Networks list on the corresponding OpenVPN server settings.



  • @pigbrother:

    Для доступа к сети клиента из сети за сервером и нужен  iroute или  IPv4 Remote Network/s в Client Specific Overrides.

    Разобрался

    Remote network(s) в настройках сервера определяет какие сети могут быть за этим OVPN, соответствует команде route
    Remote network(s) в Client Specific Overrides определяет какая сеть доступна за этим коннектом, соответствует команде iroute

    немного сбивает информация в Diagnostics / Routes
    192.168.56.0/24 10.0.9.2 UGS 3 1500 ovpns3
    192.168.88.0/24 10.0.9.2 UGS 3 1500 ovpns3

    хотя по факту 192.168.56.0/24 роутится на 10.0.9.3

    Благодарю за помощь.


Log in to reply