OpenVPN в VLAN подсеть MikroTik.



  • добрый день!

    • на pf 192.168.50.6 настроен VPN с подсетью 10.0.1.0/24 (всю локальную сеть 192.168.50.0 я вижу по VPN)
    • на MT 192.168.50.40 настроен VLAN с подсетью 192.168.59.0/24 (VLAN находится в bridge)
    • MT 192.168.59.1 является шлюзом
    • на MT создан маршрут Dest.Address: 192.168.59.0/24  GW: VLAN  Pref.Source: 192.168.59.1
    • на pf создан маршрут Network: 192.168.59.0/24  GW: 192.168.50.40  Interface: LAN (при этом маршруте я вижу подсеть 59.0 с pf)
    • если на pf пропинговать подсеть 192.168.59.0 с интерфейса VPN 10.0.1.1 то пинг проходит, так же трасировка.

    как через подсеть OpenVPN: 10.0.1.0/24 увидеть подсеть 192.168.59.0/24 ?



  • вот схема для наглядности
    как увидеть с 10.0.1.0 => 192.168.59.0 и с 10.0.1.0 => 192.168.51.0




  • Доброе.
    В гугле  -> pfsense+mikrotik+openvpn Сразу же на 1-ой странице.

    Зы. Все же с нек-ми у нас интернеты разные.
    Зы2. Внимание! Организую курсы по пользованию поиском в Сети! Поступаем, не стесняемся!



  • у меня в настройках сервера OpenVPN в пункте Tunnel Settings нет строчки IPv4 Remote network(s)



  • @werter:

    Доброе.
    В гугле  -> pfsense+mikrotik+openvpn Сразу же на 1-ой странице.

    Зы. Все же с нек-ми у нас интернеты разные.
    Зы2. Внимание! Организую курсы по пользованию поиском в Сети! Поступаем, не стесняемся!

    спасибо за совет конечно, но думаю это все же немного не то что мне нужно, у меня pf и MT находятся в одной сети, а на англоязычном форуме описание OpenVPN между pf и MT, т.е сервер-клиент, мне же нужно попасть из VPN сети 10.0.1.0 в VLAN сеть 192.168.59.0 созданную на MT 192.168.59.1, и с VPN сети 10.0.1.0 в сеть удаленную к примеру 192.168.51.0, которую со своей локальной сети я вижу через КШ.



  • указал в строке IPv4 Local network(s) подсеть VLAN 192.168.59.0 теперь я ее вижу через OpenVPN, а вот удаленные подсети в других филиалах я так и не вижу, и когда через запятую в этой же строчке добавляю удаленную подсеть то 59.0 я перестаю видеть совсем, с чем это может быть связано?
    наверное удаленные подсети нужно указывать в строчке IPv4 Remote network(s) которой у меня по каким то причинам нет вообще



  • Доброе.

    с чем это может быть связано?

    С нежеланием пользовать поиск в Сети. А также с неумением формировать правильно вопросы. С ленью и глупостью, короче.

    Намекну. Вкладка Client specific overrides + директива iroute Уже 100500 говорено здесь  :'(

    Зы. На том же ixbt есть рус. ветка по Openvpn с хорошим описанием параметров. Воспользуйтесь.

    Зы2. В гугле это будет Не видно сети за клиентом Openvpn pfsense



  • Не знаю, поможет ли конкретно в вашем случае. Микротику маршруты в сети, отличные от сети непосредственно за pfSense передаются с указанием шлюза,
    т.е в Advanced Client Specific Overrides
    push route "10.0.3.0 255.255.255.0 10.11.12.1"

    Где
    10.0.3.0 - удаленная сеть.
    10.11.12.1 - IP "серверного конца" туннеля\Шлюза, ведущего в эту сеть



  • @Guf-Rolex-X:

    а вот удаленные подсети в других филиалах я так и не вижу

    А вы уверены что это ваш pfSense не видит удаленные сети? Может всетаки это они не знают о сетях pfSense?



  • @PbIXTOP:

    @Guf-Rolex-X:

    а вот удаленные подсети в других филиалах я так и не вижу

    А вы уверены что это ваш pfSense не видит удаленные сети? Может всетаки это они не знают о сетях pfSense?

    • на MT настроен маршрут все что начинается на 192.168.0.0/16 идет через КШ 192.168.50.1
    • так же на МТ настроено все что начинается на 0.0.0.0/0 идет через pf 192.168.50.6
      получается я с pf должен видеть подсеть 192.168.51.0 через КШ, следуя из логики маршрута 192.168.0.0/16 через 192.168.50.1 на МТ
      но с pf я даже не пингую подсеть 192.168.51.0
      если пингануть с MT и выбрать интерфейс к которому подключен КШ то пинга нет, если выбрать бридж (а они у меня все получаются в бридже) то пинг до удаленной сети 51.0 будет.


  • @Guf-Rolex-X:

    но с pf я даже не пингую подсеть 192.168.51.0

    Если не пингуется, то не факт что пакеты не доходят, они могут просто блокироватся по пути другими файрволами.
    Пинга нет - обязательная проверка сетевых дампов с интерфейсов — там сразу видно ушел пакет или нет.



  • @PbIXTOP:

    @Guf-Rolex-X:

    но с pf я даже не пингую подсеть 192.168.51.0

    Если не пингуется, то не факт что пакеты не доходят, они могут просто блокироватся по пути другими файрволами.
    Пинга нет - обязательная проверка сетевых дампов с интерфейсов — там сразу видно ушел пакет или нет.

    пока не было MT, pf смотрел в сторону КШ, то на pf добавлял статические маршруты и правило на LAN в эти подсети удаленные, то я видел их с pf и интернет туда пускал, а сейчас что нужно сделать MT не понимаю, добавляю маршрут к примеру в подсеть 51.0 и вообще перестаю ее видеть с ПК.



  • Не совсем понятно зачем вам 2 маршрутизатора друг за другом в локалке. Уберите один (МТ или pf). И разберитесь с адресацией. Куда на pf смотрит openvpn (на каком интерфесе)? Какая адресация на интерфейсах МТ  и pf?  openvpn канал через КШ или Интернет.


Log in to reply