Pfsense openvpn mikrotik



  • Добрый день, суть, не видна сеть за mikrotik.
    Стою сниферами на канале между pfsense и mikrotik (смотрю только icmp), все пакеты адресованные не на сеть за микротиком ходят норм, если отправляю на сеть за микротик с pfsense они уходят, в микротик не приходят.

    NAT из сети за микротиком все ок. Трабла именно отсутствии пакетов с адресацией в сеть за микротиком.
    alt text



  • @farmadelkin said in Pfsense openvpn mikrotik:

    Добрый день, суть, не видна сеть за mikrotik.
    Стою сниферами на канале между pfsense и mikrotik (смотрю только icmp), все пакеты адресованные не на сеть за микротиком ходят норм, если отправляю на сеть за микротик с pfsense они уходят, в микротик не приходят.

    NAT из сети за микротиком все ок. Трабла именно отсутствии пакетов с адресацией в сеть за микротиком.
    alt text

    Недавно обсуждалось

    https://forum.netgate.com/topic/104225/openvpn-не-пускает-в-сеть-клиента

    @farmadelkin said in Pfsense openvpn mikrotik:

    NAT из сети за микротиком все ок

    NAT для этого вообще не нужен.



  • У меня вообще пашет ospf. Но таже проблема и без динамической маршрутизации.
    Прописал route 10.41.24.0 255.255.255.0 для сервака и для клиента (точно такая же запись).
    Common Name взял из подключения, вышло internal-ca.

    Уже пробовал и статик роут сделать, не помогает.



  • @farmadelkin said in Pfsense openvpn mikrotik:

    Common Name взял из подключения, вышло internal-ca.

    Куда вышло internal-ca? Если речь о Client Specific Overrides -
    Common Name должен быть клиента.



  • alt text
    alt text
    alt text
    alt text
    alt text



  • @farmadelkin
    а если в customs options
    прописать дословно push "route 1.3.1.0 255.255.255.0"; ?? именно со словом push и ";"
    где 1.3.1.0 - сеть за PF
    Не совсем понятна вот эта фраза
    "Прописал route 10.41.24.0 255.255.255.0 для сервака и для клиента (точно такая же запись)"
    что за сеть 10.41.24.0 - ?
    В вашем случае - PF "знает" про сеть 1.2.1.0 , а микротик про 1.3.1.0 ?



  • @pigbrother said in Pfsense openvpn mikrotik:

    internal-ca

    Еще раз спрошу.
    internal-ca - это Common Name клиента? Уж больно похоже на Certificate Authoritiy .
    Route в настройках сервера. 10.41.24.0 - это сеть за Микротиком?
    Если да - есть ли упоминания об 10.41.24.0 в Client Specific Overrides для Common Nameэтого клиента?



  • pigbrother да, это авторизация по ключу.
    На скрине есть тип авторизации, может быть я какраз ошибся и нужно авторизоваться по логину и паролю.

    По поводу ип, на бумажке я скинул для примера.
    Настоящая подсеть за микротиком 10.41.24.0/24



  • @farmadelkin Это понятно , что для примера
    поясните фразу
    "Прописал route 10.41.24.0 255.255.255.0 для сервака и для клиента (точно такая же запись)"
    Вопрос прежний , по таблицам маршрутизации видно , что , к примеру, PF знает про сеть 10.41.24.0 /24 ?
    а Микротик - про сеть за PF ?
    И еще вопрос , для самоуспокоения, правила разрешающее на openvpn интерфейсе есть ?



  • @farmadelkin said in Pfsense openvpn mikrotik:

    pigbrother да, это авторизация по ключу.

    Покажите скриншот
    System-Certificate Manager-Certificates
    и укажите там сертификат клиента Микротик.

    @pigbrother said in Pfsense openvpn mikrotik:

    Если да - есть ли упоминания об 10.41.24.0 в Client Specific Overrides для Common Nameэтого клиента?

    Покажите полный скриншот
    VPN-OpenVPN-Client Specific Overrides
    для клиента Микротик.

    Вы используете в сетях адресацию 1.3.1.0 /? и 1.2..1.0/?
    Если так - это неправильно.



  • @pigbrother Это сделано для примера
    Думаю , что проблема в настройке маршрутизации
    Для ТС
    какой будет результат выполнения команды
    netstat -r | grep 10.41.24 на pF ?



  • Вот что прописано для клиента в VPNOpenVPNClient Specific Overrides

    alt text

    Да, адресация есть.

    Вот стою снифером на микротике и пфсенсе, на канале между ними.
    адресую c pfsense (10.11.17.1) на 10.41.24.1 - ip mikrotik в сети за микротиком.

    alt text

    Стою там-же но адресую c pfsense (10.11.17.1) на ip (10.11.17.2) микротика в канале между пфсенс и микротик.



  • @konstanti said in Pfsense openvpn mikrotik:

    netstat -r | grep 10.41.24

    [2.4.3-RELEASE][admin@pfSense.localdomain]/root: netstat -r | grep 10.41.24
    10.41.24.0/24 10.11.17.1 UGS lo0
    [2.4.3-RELEASE][admin@pfSense.localdomain]/root:



  • @farmadelkin said in Pfsense openvpn mikrotik:

    Вот что прописано для клиента в VPNOpenVPNClient Specific Overrides

    Должно быть
    iroute

    Где скриншот
    System-Certificate Manager-Certificates

    @konstanti said in Pfsense openvpn mikrotik:

    Это сделано для примера

    Хорошо, если так.



  • @farmadelkin
    у вас PF ничего не знает про сеть 10.41.24.0 судя по выводу
    попробуйте добавить строку
    в настройке сервера
    route 10.41.24.0 255.255.255.0 10.11.7.2 ( или тот адрес , который использует микротик)
    в настройках клиента добавьте
    route адрес сети за PF



  • @farmadelkin said in Pfsense openvpn mikrotik:

    10.41.24.0/24

    Да был статический маршрут, все заработало, БОЛЬШОЕ СПС, обязательно напишу мануал с картинками.