OpenVPN Verbindung zwischen pfsense und Mikrotik



  • Hallo,

    ich programmiere gerade eine OpenVPN-Verbindung zwischen pfsense und Mikrotik.
    Die pfsense ist der OpenVPN-Server und die Mikrotik der OpenVPN-Client. Die Verbindung steht, über TCP.
    Wenn ich mich hinter der Mikrotik mit einem PC anstecke kann ich alle Netzwerke hinter der pfsense erreichen. Von der Seite der Pfsense erreiche ich nur die Tunneladresse der Mikrotik. (192.75.75.2)
    Möchte ich die Adminoberfläche der Mikrotik 172.24.174.10 über OpenVPN von der pfsense -Seite erreichen werde ich ins Internet geroutet.
    Der Adressrange der Mikrotik steht aber in der Routingtabele der pfsense.

    Wo kann mein Fehler liegen?
    Danke für die Unterstützung.

    0_1543864149546_1.JPG

    0_1543864165240_2.JPG
    0_1543864187871_3.JPG
    0_1543864207731_4.JPG

    0_1543864215679_5.JPG
    0_1543864226529_6.JPG
    0_1543864241543_7.JPG



  • Hi,

    warum trägst du die Route in den Custom Options ein? Dafür gibt es seit Jahren das Feld "Remote Network/s".
    Allerdings, nachdem die Route gesetzt ist, wird das auch nichts ändern.

    Soweit ich weiß, mag die pfSense aber für eine Site-to-site OpenVPN ein /30er Tunnel-Netz.

    Ein Interface hast du der VPN Instanz auch hinzugefügt?



  • @viragomann said in OpenVPN Verbindung zwischen pfsense und Mikrotik:

    Soweit ich weiß, mag die pfSense aber für eine Site-to-site OpenVPN ein /30er Tunnel-Netz.

    Diese Behauptung wage ich zu bezweifeln.

    Die Topologie "net30" ist doch nur noch für seltene Spezialfälle gedacht. Ich setze z. B. für einen
    sit2site Tunnel die Topologie "subnet" ein und es gibt keine Probleme damit.

    LG


  • Rebel Alliance

    Nimm erst mal ein RFC1918 Netz als Tunnel Network, dann sieht man weiter.
    OpenVPN über TCP ist auch großer Mist, ändern auf UDP außer du hast einen sehr guten Grund TCP dafür zu nutzen. Und sag nun bitte nicht TCP ist generell stabiler. 😶

    -Rico



  • @gladius said in OpenVPN Verbindung zwischen pfsense und Mikrotik:

    Diese Behauptung wage ich zu bezweifeln.

    Es gab vor gar nicht allzu langer Zeit hier Problemfälle mit Site-to-site, wo eben ein /30er Tunnel zur Lösung geführt hat.
    Kannst ja nachlesen.

    @rico said in OpenVPN Verbindung zwischen pfsense und Mikrotik:

    Nimm erst mal ein RFC1918 Netz als Tunnel Network, dann sieht man weiter.

    Da ist was dran. ☺ Hatte ich übersehen. Auch damit gab es hier vor Kurzem Schwierigkeiten.



  • Hallo,

    habe es auch mit Remote Network/s versucht, Gleiches Ergebnis. TCP verwende ich, da der Mikrotik nur OpenVPN TCP kann.
    Was meinst Du mit :
    "Ein Interface hast du der VPN Instanz auch hinzugefügt?"
    Wenn ich die Subnetzadresse auf 30 verändere kommt keine Verbindung zustande.

    Ich setze z. B. für einen
    sit2site Tunnel die Topologie "subnet" ein
    Wo stellst Du das ein?



  • @be1001

    @be1001 said in OpenVPN Verbindung zwischen pfsense und Mikrotik:

    Was meinst Du mit :
    "Ein Interface hast du der VPN Instanz auch hinzugefügt?"

    Interfaces > Assignments
    Bei "Available network ports:" die jeweilige VPN Instanz auswählen, Add klicken, das neue Interface öffnen, Enable anhaken und speichern.

    @be1001 said in OpenVPN Verbindung zwischen pfsense und Mikrotik:

    Wenn ich die Subnetzadresse auf 30 verändere kommt keine Verbindung zustande.
    Wo stellst Du das ein?

    0_1544031704452_8a94a67a-ea7f-4a73-b2c9-f94e8f5dacfe-grafik.png

    Natürlich ist Netzwerkmaske auf beiden Seiten auf 30 zu setzen.





  • Hallo,

    ich kann machen was ich will, von der Mikrotik (OpenVPN-Client) komme ich auf alle Rechner hinter der pfsense. Wenn ich von der Pfsense den Mikrotikrouter aufrufe werde ich immer ins Internet geroutet, obwohl eine Route vorhanden ist. Die Tunneladresse der Mikrotik 192.75.75.2 ist sofort erreichbar.
    Die Tunneladresse geht nur als 192.75.75.0/24 da die Mikrotik keine 30er Adresse kann.

    3_1544208885256_Bild_04.JPG
    2_1544208885255_Bild_03.JPG
    1_1544208885255_Bild_02.JPG
    0_1544208885254_Bild_01.JPG


  • Rebel Alliance

    Was soll man dir noch schreiben, wenn du eh keine Ratschläge annimmst?
    Wieso nimmst du ein öffentliches Netz als Tunnel? Da sind doch Probleme vorprogrammiert.

    -Rico



  • 192.75.75.0 ist doch ein privates Netz. Und er Mikrotik kann nur TCP


  • Rebel Alliance

    Das ist eben kein privates Netz (habe ich dir vor zwei Tagen schon geschrieben), der Block ist irgendwo in Kanada.
    RFC1918 bitteschön:
    10.0.0.0 bis 10.255.255.255 (10.0.0.0/8)
    172.16.0.0 bis 172.31.255.255 (172.16.0.0/12)
    192.168.0.0 bis 192.168.255.255 (192.168.0.0/16)

    Und den Hinweis von hornetx ob deine iroutes stimmen hast du auch nicht beantwortet.

    -Rico



  • Moin,

    Du musst dem Netz hinter der pf die Route zum Microtik Netz per iroute mitteilen.
    Das machst Du bei der pf im OpenVPN Bereich unter Client Overreide.

    Die Größe des Transfernetzes ist unerheblich. Die erste IP belegt automatisch der Server, die 2. der Client. Wenn Du ein /30er Netz nimmst ist das sehr löblich, denn dann kamst Du einfach die nächsten vier Adressen belegen wenn die ersten verschlissen sind ;-)

    HornetX11 mobil



  • Hallo,
    hab es auch bereits mit der Tunneladresse 10.75.75.0 probiert, gleiches Ergebnis.
    Habe den Client Override eingerichtet, gleiches Ergebnis.

    0_1544212669456_Bild_05.JPG

    0_1544212678339_Bild_06.JPG



  • Moin,

    Probier bitte noch ein ; am Ende der iroute.

    @Rico OT
    Rebel Alliance? Come to the dark side, we habe Cookies
    w-e-g.org

    😜

    HornetX11 mobil



  • Hallo,

    auch keine Änderung, die Tunneladresse der Mikrotik ist erreichbar, die Adminadresse nicht.
    Firewall der Microtik ist offen, und von der Mikrotik ist auch alles erreichbar.

    0_1544371013783_Bild_07.JPG



  • @be1001 said in OpenVPN Verbindung zwischen pfsense und Mikrotik:

    Firewall der Microtik ist offen

    Daran gibt es keinen Zweifel?

    LG


  • Rebel Alliance


  • Moderator

    Das Thema ist mir dabei auch schon aufgefallen. Habe aber auch von einigen Kollegen aus dem Norden schon seltsame Stories von Mikrotik Kisten gehört. Alleine bei der Aussage "die können nur tcp" bekomme ich schon ein leichtes Augenzucken. Da ich in der Vergangenheit schonmal lustige Sachen hatte und mich mit deren "Philosophie" rumschlagen musste, wo dann auch mal kompletter Quatsch zu OpenVPN von einem Supporter kam würde ich da eher auf die Gegenseite (den Mikrotik) tippen, der da Mist macht. Können die sowas wie ein Debuglog ausgeben mit ner Verbosity von 3 oder 4 um mal zu sehen was der tut? Sollte man dann auf der pfSense auch einstellen und ins Log schauen.

    Cheers