mikrotik+pfsense OpenVPN

serj161

добрый день.
настраиваю OpenVPN pear to pear.
имеется pfsene OpenVPN server(сертификаты сгенерил, добавил их на Milrotik), к нему цепляется Mikrotik, который выступает клиентом. Соединение устанавливается. с Mikrotik локальная сеть за Pfsense пингуется, а в обратном направлении нет.

в чем может быть причина?

pigbrother

@ilshat said in mikrotik+pfsense OpenVPN:

в чем может быть причина?

Скорее всего - в отсутствии\неправильной настройке iroute (оно же - IPv4 Remote Network/s ) в Client Specific Overrides

serj161

Client Specific Overrides - IPv4 Remote Network/s - обязательно настраивать этот раздел?
просто эти же настройки указываются в настройках сервера OpenVPN

pigbrother

@ilshat said in mikrotik+pfsense OpenVPN:

просто эти же настройки указываются в настройках сервера OpenVPN

А слово "client" ни о чем не говорит?
Если коротко - этот раздел (это пункт в разделе) настраивать обязательно. Если вам нужна сеть за клиентом.

serj161

тогда помогите разобраться ,что писать.
192.168.0.0/16 - сеть за pf
192.168.1.0/24 - сеть за mik
10.0.9.0/24 - сеть туннеля.

что писать Client Specific Overrides?

pigbrother

@ilshat said in mikrotik+pfsense OpenVPN:

192.168.0.0/16 - сеть за pf
192.168.1.0/24 - сеть за mik

Сеть за pf c маской /16 перекрывает сеть за МТ. Для роутинга это неприемлемо.
Если бы обе стети были /24, в IPv4 Remote Network/s надо было бы писать 192.168.1.0/24

serj161

что в таком случае делать?

pigbrother

@ilshat said in mikrotik+pfsense OpenVPN:

что в таком случае делать?

Поменять адресацию сетей. Либо заузить маску за pf до /24, либо перейти, например, на 10.х.х.x/24 за МТ.
Как вариант - всем любителям использовать 192.168.0.0 я меняю ее на 10.168.0.0/24.
Необходимости заполнения IPv4 Remote Network/s в Client Specific Overrides это, естественно, не отменяет.

serj161

понял, спасибо.

serj161

@pigbrother сделал, результат тот же. трафик ходит только от микротика в сторону pfsense.

pigbrother

@serj161 said in mikrotik+pfsense OpenVPN:

трафик ходит только от микротика в сторону pfsense.

Где-то ошибка. При правильной настройке все работает.

1. Все ПК за микротиком имеют шлюзом МТ
2. Client Specific Overrides настроены правильно (точно ли используется common name клиента МТ?
3. Брандмауэры в сети за МТ отключены?
4. Сеть за МТ должна упоминаться и в настройках сервера и в Client Specific Overrides

Иногда требуется добавить повыше на PF устаревшее, но иногда нужное правило:
v4 * LAN net * a.b.c.0/24 * * none
a.b.c.0/24 - сеть за МТ

serj161

@pigbrother может у вас есть skype? очень нужно закончить этот проект

pigbrother

@serj161 said in mikrotik+pfsense OpenVPN:

@pigbrother может у вас есть skype? очень нужно закончить этот проект

Могу привести настройки сервера\МТ

serj161

@pigbrother давайте

pigbrother

@serj161 said in mikrotik+pfsense OpenVPN:

@pigbrother давайте

Сервер
/var/etc/openvpn

dev ovpns4
verb 1
dev-type tun
tun-ipv6
dev-node /dev/tun4
writepid /var/run/openvpn_server4.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto tcp-server
cipher AES-256-CBC
auth SHA1
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local a.b.c.d
tls-server
server 10.11.12.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc/server4
ifconfig 10.11.12.1 10.11.12.2
tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'ovpns2' 1"
lport xxx5
management /var/etc/openvpn/server4.sock unix
push "route 10.0.2.0 255.255.255.0"
ca /var/etc/openvpn/server4.ca 
cert /var/etc/openvpn/server4.cert 
key /var/etc/openvpn/server4.key 
dh /etc/dh-parameters.1024
crl-verify /var/etc/openvpn/server4.crl-verify 
persist-remote-ip
float
topology subnet
route 10.0.3.0 255.255.255.0

Client Specific Overrides
/var/etc/openvpn-csc/server4/common name клиента за Микротик

iroute 10.0.3.0 255.255.255.0

Микротик

/interface ovpn-client
add certificate=cert_name cipher=aes256 comment="OVPN to pfSense" connect-to=a.b.c.d name=\
    ovpn-out1 password=pass port=xxx5 user=user

a.b.c.d - Wan IP pfSense
xxx5 - Порт Open VPN сервера
10.0.2.0 - Сеть за pfSense
10.0.3.0 - сеть за Микротик
10.11.12.0 - сеть тунеля

Редактировать конфиги вручную не надо, привел просто для справки.

serj161

@pigbrother спасибо, попробую

serj161

@pigbrother видимо делаю что то не так. сеть за Микротик, в том числе и сам микротик недоступны

serj161

@pigbrother еще немного поясню. Микротик сам выступает клиентом. сертификаты на него загружены, соединяется без проблем

pigbrother

@serj161 said in mikrotik+pfsense OpenVPN:

Микротик сам выступает клиентом. сертификаты на него загружены, соединяется без проблем

Это как бы было ясно с самого начала.
Строки, соответствующие моим
route 10.0.3.0 255.255.255.0
в настройках сервера
и
iroute 10.0.3.0 255.255.255.0
в Client Specific Overrides
в ваших конфигах есть?

serj161

@pigbrother имеются