Pfsense 2.4.4 openvpn mikrotik v6.43.2



  • Добрый день!
    После обновления Pfsense с версии 2.4.3 на версию 2.4.4 перестал работать openvpn между mikrotik в роли клиента.
    Что там такого добавили или "исправили" и как бы заставить работать эту связку заново?
    Если вместо микротика использовать клиентом, например windows 10, все нормально работает.

    1. Линк есть между микротиком и Pfsense, только траффик не ходит.
      2.Туннель между Pfsenseами нормально работает.
      Спасибо!


  • Добрый день!
    Точно такая же связка c AES-256 и SHA1 после обновления работает без нареканий. Это к тому, что каких-либо серьезных изменений, влияющих на хождение пакетов, не было.



  • Доброго.

    Читайте логи. На обоих концах туннеля. Всегда ищите и читайте логи. В любых случаях. Не надо гадать.



  • @logdog Проверьте на обоих концах туннеля , знают ли маршрутизаторы о сетях за туннелем . Недавно была такая же тема , с похожими симптомами



  • Да. Появляется на Микротике маршрут в сеть за pfSense? Если вдруг нет - добавьте его (временно) вручную.



  • @konstanti да, я видел эту тему.. но там была версия 2.4.3 и главное peer-to-peer, а у меня, микротик в роли клиента

    Просто странно, что больше полугода работало все, столько версий пережила (и микротик и пфсенс обновлялся)

    @pigbrother сейчас сяду, буду проверять.



  • @logdog Дело не в версии
    а в том , что могли настройки со стороны PFsense слелеть
    в той теме - не peer to peer
    а именно site to site
    В теме , на которую я ссылался ,я писал команду , как проверить , есть ли маршрут к сети за Microtic
    С нее и начните
    Если маршрута нет, то его просто надо прописать
    И так же проверить таблицу маршрутизации Микротика
    Получает ли он маршрут от сервера ?



  • @konstanti

    в той теме - не peer to peer
    а именно site to site

    https://forum.netgate.com/topic/136306/pfsense-openvpn-mikrotik/3
    тут у человека peer to peer

    В общем, сейчас выложу свои скрины... нужна помощь



  • @logdog И , если можно
    сразу таблицы маршрутизации обоих маршрутизаторов



  • Сеть за pfsense 10.0.0.0/24
    pfsense 10.0.0.254
    inet
    mikrotik 10.2.0.254
    Сеть за микротиком 10.2.0.0/24

    Servers
    !0_1538922982660_index.png 0_1538923096775_index.png
    0_1538923145575_index.png
    0_1538923166965_index.png

    Клиент
    0_1538923212816_index.png
    0_1538923232732_index.png

    Роутинг pf
    0_1538923260593_index.png

    Роутинг микротик
    [admin@MikroTik] > /ip route print detail
    Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
    0 ADS dst-address=0.0.0.0/0 gateway=инет gateway-status=инет reachable via ether1 distance=1 scope=30 target-scope=10 vrf-interface=ether1

    1 ADC dst-address=10.2.0.0/24 pref-src=10.2.0.254 gateway=bridge gateway-status=bridge reachable distance=0 scope=10

    2 ADC dst-address=инет/24 pref-src=инет gateway=ether1 gateway-status=ether1 reachable distance=0 scope=10

    ЗЫ На сервере и на клиенте, route и iroute в версии 2.4.3 у меня не были прописаны.



  • @logdog Может я и ошибаюсь
    но я бы клиенту Микротику передавал бы
    на 10.0.0.0/24 передавал бы роутер 10.0.10.1 (у Вас почему-то указан 10.2.0.254)
    а на PFSense
    указал бы что для 10.2.0.0/ 24 маршрутизатор 10.0.10.8
    если не сложно
    покажите вывод команды на PF
    netstat -r | grep 10.2.0.



  • на Servers
    push "route 10.0.0.0 255.255.255.0 10.0.10.1";
    на Client Specific Overrides
    ifconfig-push 10.0.10.8 255.255.255.0;
    iroute 10.2.0.0 255.255.255.0 10.0.10.8;

    Так?

    Вывода нету
    /root: netstat -r | grep 10.2.0.0
    /root:



  • @logdog
    Так трудно понять
    Если не сложно , покажите пож вывод команды
    netstat -r | grep 10.2.0. на pfsense

    и после всех манипуляций таблицу маршрутизации на Микротик
    в обоих случаях , если все настроено верно
    Вы должны увидеть , что
    10.2.0 видна через 10.0.10.8
    а 10.0.0 видна через 10.0.10.1



  • @konstanti
    Вывода нету
    /root: netstat -r | grep 10.2.0.0
    /root:

    После обновления на 2.4.4, я этого не вижу.

    Буду peer-to-peer пробовать настроить...по крайней мере, сразу виден статус коннект на микротике и траффик идет
    и вывод на pf
    root: netstat -r | grep 10.2.0.0
    10.2.0.0/24 10.0.10.2 UGS ovpns3



  • @logdog
    Т е есть маршрут на 10.2.0.0 с Pf ??
    судя по выводу
    Peer to peer - да , это в настройках самого Openvpn на PF ( не так мы друг друга поняли)
    Т е сейчас пошел трафик между сетями ?



  • когда поставил peer-to-peer, трафик пошел.
    с микротика pf и сетка за ним пингуется
    с pf - микротик (10.2.0.254) не пингуется

    В самом начале темы, имел ввиду, что Remote Access сломали в 2.4.4



  • @logdog
    можно увидеть таблицу маршрутизации микротик ?



  • @konstanti наоборот ...с микротика все видно ... с pf не видно

    Микротик
    [admin@MikroTik] > /ip route print detail
    Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
    0 ADS dst-address=0.0.0.0/0 gateway=46.39.250.1 gateway-status=46.39.250.1 reachable via ether1 distance=1 scope=30 target-scope=10 vrf-interface=ether1

    1 ADS dst-address=10.0.0.0/24 gateway=10.0.10.1 gateway-status=10.0.10.1 reachable via pfSense distance=1 scope=30 target-scope=10

    2 ADC dst-address=10.0.10.0/24 pref-src=10.0.10.2 gateway=pfSense gateway-status=pfSense reachable distance=0 scope=10

    3 ADC dst-address=10.2.0.0/24 pref-src=10.2.0.254 gateway=bridge gateway-status=bridge reachable distance=0 scope=10



  • @logdog а tcpdump на opnvns3 интерфейсе pf показывает , что пакеты для 10.2.0.254 уходят в туннель ?
    c pf 10.0.10.2 пингуется ?
    Мб mikrotik блокирует входящий трафик ?
    Все это акутально при условии , что pf знает про 10.2.0
    Вы показывали вывод , что знает



  • @konstanti tcpdump не смотрел
    c pf только 10.0.10.2 и пингуется



  • @logdog Посмотрите tcpdump
    если пакеты в туннель уходят
    То , с высокой долей вероятности , проблема в Микротике



  • @konstanti
    Packet Capture
    19:09:18.492250 IP 10.0.10.1 > 10.2.0.254: ICMP echo request, id 55778, seq 2679, length 64
    19:09:19.493250 IP 10.0.10.1 > 10.2.0.254: ICMP echo request, id 55778, seq 2680, length 64
    19:09:20.494243 IP 10.0.10.1 > 10.2.0.254: ICMP echo request, id 55778, seq 2681, length 64

    проблема точно в pf ... это он обновился



  • @logdog
    Так пакеты в туннель уходят , значит , PF знает про 10.2.0
    Не знаком с Микротиком
    Есть у Микротика аналог tcpdump ?
    Надо понять , что происходит на Микротике , когда туда приходит пакет
    Мб , по аналогии с Iptables запрещен форвардинг пакетов с openvpn интерфейса Микротика дальше ? И его надо разрешить
    Мб на микротике запрещен echo reply ?
    И еще вопрос -НАТ включен на openvpn интерфейсе PF ?
    если да, что будет , если его отключить
    и попробовать пинговать Microtik с любого хоста 10.0.0 (не PF)
    т е tcpdump показал бы
    10.0.0.XXX > 10.2.0.254: ICMP echo request, id 55778, seq 2681, length 64



  • В общем, у кого Server mode = Remote Access (User Auth) работает с микротиком?
    На микротике Status: link established вместо Status: Connect
    После обновления - это поломали и нужно в багтрекер писать.



  • @logdog
    Почему Вы делаете   User auth?
    В вашем случае нужен peer to peer
    По-моему , user auth для Road Warriors ( как сервер удаленного доступа)
    https://www.netgate.com/docs/pfsense/vpn/openvpn/configuring-a-site-to-site-pki-ssl-openvpn-instance.html

    посмотрите по этой ссылке настройку OpenVpn между удаленными сетями
    Возможно , поможет



  • @konstanti у меня до 2.4.4 работал Server mode = Remote Access ... почему мне нужно делать peer to peer?



  • @logdog К сожалению , не знаю, как у Вас все было настроено
    Но ,по моему скромному мнению,
    Peer to peer - это режим для создания site to site Vpn соединений
    Remote auth - это режим для удаленного подключения пользователей к офисной сети
    Естественно , что в режиме Reemote auth можно настроить соединение сеть-сеть ( но это требует лишних телодвижений )
    Если Вы обратите внимание , в режиме PtP появляется поле Remote Network при настройке сервера. Это , как бы , намекает на автоматическое создание маршрута на самом PFsense для удаленной сети
    И никакие push route не надо указывать , pf их сам создаст в конфигах сервера
    Вот что PF создаст автоматически в Вашем случае
    0_1538932634856_05850b5a-6556-4ae7-9785-a6c60f88d540-image.png

    Посмотрите логи на Микротике - возможно , есть какие-то опции , которые ему не нравятся
    Версия Openvpn на pfsense OpenVPN 2.4.6
    МБ есть какая-то несовместимостьё
    Попробуйте заново создать конфигурационный файл для Микротика через PFSense Client Export



  • @konstanti said in Pfsense 2.4.4 openvpn mikrotik v6.43.2:

    Естественно , что в режиме Reemote auth можно настроить соединение сеть-сеть ( но это требует лишних телодвижений )

    Согласен. Но зато при RA можно обойтись одним экземпляром сервера и для RA c user auth и для site-to-site.

    @konstanti said in Pfsense 2.4.4 openvpn mikrotik v6.43.2:

    Попробуйте заново создать конфигурационный файл для Микротика через PFSense Client Export

    Реализация OpenVPN у Микротик убогая и усеченная, конфиг Client Export ей не подсунуть. Хотя, надо признать, работает (работала до обновления) стабильно.стабильно



  • @pigbrother Читаю
    что микротик опевпн не поддерживает компрессию
    МБ надо в настройках сервера отключить ее , и будет у ТС счастье?

    Логи надо читать на обеих сторонах , где-то что-то микротику не нравится



  • @konstanti said in Pfsense 2.4.4 openvpn mikrotik v6.43.2:

    что микротик опевпн не поддерживает компрессию

    Да, не поддерживает, как и HMAC. Не поддерживет и UDP.

    Похоже в 2.4.4. изменили дефолтные настройки сжатия с no-compression на то, что видно на скриншоте. Отсюда и могут расти проблемы.

    @konstanti said in Pfsense 2.4.4 openvpn mikrotik v6.43.2:

    Не знаком с Микротиком

    Богатые настройки openvpn Микротик:
    alt text

    Хотя, повторю еще раз - работает крайне стабильно и цепко.



  • @pigbrother Мощно
    вот что еще вычитал
    Не поддерживается в 6 версии операционной системы:
    UDP протокол, т.е. необходимо использовать исключительно TCP!
    LZO сжатие
    TLS аутентификация
    Аутентификация без имени пользователя и пароля



  • @konstanti said in Pfsense 2.4.4 openvpn mikrotik v6.43.2:

    Аутентификация без имени пользователя и пароля

    Это неправда. Он просто не дает оставить пустыми поля User\Password.
    Надо просто вписать тудачто угодно, если если сервер без user-auth.



  • @pigbrother Это я так ))) для общей картины ))
    В общем , резюме такое
    Что надо попробовать отключить компрессию
    если не поможет , изучать логи Микротика и PFsense



  • @konstanti said in Pfsense 2.4.4 openvpn mikrotik v6.43.2:

    Что надо попробовать отключить компрессию
    если не поможет , изучать логи Микротика и PFsense

    В Микротике для openvpn надо включить расширенный лог. Это для @logdog
    А pf должен в логах ругаться либо на конкретно компрессию, либо, как помнится на "incorrect TCP packets received@



  • @pigbrother
    ТС , попробуйте сделать так
    0_1538935308350_50d2e5e5-fd5a-4f5e-b57c-67acca06cfb4-image.png

    и посмотрите , будет работать или нет ?



  • @konstanti said in Pfsense 2.4.4 openvpn mikrotik v6.43.2:

    и посмотрите , будет работать или нет ?

    Опередили. Именно это в свете догадок выше хотел посоветовать.

    @logdog, отпишитесь о результате.

    Как тут вставить имя без copy\paste?
    UPD
    Нашел. Надо начать с символа @



  • Т.е. это коммерческое "поделие" (я про МТ) помимо того, что с UDP не умеет , так еще и компрессию не поддерживает?

    Спасибо. Не надо. Openwrt, Padavan, TomatoUSB + б\у роутер за ~10-20 у.е. решает данную проблему. А если роутер на MT76XX - еще и аппаратное ускорение для AES получаем.



  • @pigbrother Сорри, пока не могу ... много работы в бухгалтерии, а искать баг пока нет времени...., но все равно, вернусь к этому вопросу.

    Выше Вы писали про все ограничения, я их знаю... и да, компрессию первой попробовал вернуть в не использовать.

    И да, связка работала более года и пережила много обновлений, кроме 2.4.4



  • В общем, нихрена у меня не получается поднять .... уже готов снести к чертовой матери 2.4.4. и поставить 2.4.3



  • ipsec поднял, так и закрыл эту проблему