mikrotik+openvpn+Pfsense
-
Парни, всем привет.
Прошу направить на путь истеный :-)
Пытаюсь микротиком (МТ) как клиентом подключится к серверу OpenVPN (Pfsense)
Делаю вот по этому топику https://forum.netgate.com/topic/97011/solved-site-to-site-openvpn-between-pfsense-and-mikrotikТунель поднимается, но сеть невидно ни туда ни сюда. При этом даже адреса самого тунеля типа (Pfsense-10.0.6.1 и МТ-10.0.6.2 ) не пингуются :-( ... Чувствую где то подвох в микротике.
Модель МТ hEX.. -
@dimadur Связка рабочая и вовсю используется.
Ранее (давно) приводил в теме конфиги PF и Микротика.
Попробуйте найти поиском.Вот, нашел. Для 2.3.х. В 2.4 могут быть небольшие отличия.
https://forum.netgate.com/topic/135133/mikrotik-pfsense-openvpn/15
Редактировать конфиг pfSense вручную не надо, приведен просто для справки, после настроек в GUI вы должны получить подобный. -
@pigbrother
Очень странно. Но у меня не поднимается..
Вернее туннель поднимается но трафик не ходит в обе стороны. -
@dimadur Что-то явно не настроено или настроено неверно. Поднимите для теста клиента с теми же настройками на любом другом устройстве, на Windows например.
Разрешающее правило
Firewall-Rules-OpenVPN
IPv4 * * * * * * none
Создано?
PF и Микротик - шлюзы по умолчанию в своих сетях?
Брандмауэры на целевых компьютерах отключены? -
@dimadur
Доброго дня
Таблицы маршрутизации с обеих сторон покажите для начала, и настройки увидеть тоже было бы желательно -
https://hkar.ru/XBBM
https://hkar.ru/XBBN
https://hkar.ru/XBBO
https://hkar.ru/XBBPСкриншоты настроек
-
@dimadur
И есть ли таблица маршрутизации pf?
И какие правила openvpn интерфейсе? -
@konstanti said in mikrotik+openvpn+Pfsense:
И какие правила openvpn интерфейсе?
Я об этом первым делом спросил. Проблема, похоже, в самом туннеле.
@DIMADUR , вставляйте картинки прямо в тему.
Профиль PPP на Микротике создавать не надо.На PF:
похоже, неверно создан\выбран сертификат сервера (оно же пишет - Server:NO). Вероятно - создан User вместо Server.Попробуйте:
Compression сменить на No LZO compression [Legacy....]NCP Algorithms - попробуйте None
DH Parameter Length - 1024
@dimadur said in mikrotik+openvpn+Pfsense:
Тунель поднимается, но сеть невидно ни туда ни сюда.
А что в логах Open VPN на PF?
-
pfsense
10.0.6.0/24 10.0.6.2 UGS 0 1500 ovpns4
10.0.6.1 link#11 UHS 0 16384 lo0
10.0.6.2 link#11 UH 0 1500 ovpns4И МТ
DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 192.168.2.1 1
1 ADC 10.0.6.0/24 10.0.6.2 ovpn-out5 0
2 ADC 10.168.30.0/24 10.168.30.1 bridge5 0
3 ADS 10.168.45.0/24 10.0.6.1 1
4 ADC 192.168.2.0/24 192.168.2.150 ether1 0 -
@pigbrother
Я тоже дуамю, что не правильно в PF настроенно, особенно с сертификатами что то неверно -
@dimadur said in mikrotik+openvpn+Pfsense:
Я тоже дуамю, что не правильно в PF настроенно, особенно с сертификатами что то неверно
Так что мешает исправить?
-
поправил. да действительно сертификат был -юзер.
сделал серверным.
но пока безрезультатно -
@dimadur said in mikrotik+openvpn+Pfsense:
но пока безрезультатно
@pigbrother said in mikrotik+openvpn+Pfsense:
что в логах Open VPN на PF?
И в логе МТ?
Указанные выше настройки менять пробовали?
-
@pigbrother
да настройки сменил
Вот в логах PF есть
WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1560', remote='link-mtu 1559'
WARNING: 'comp-lzo' is present in local config but missing in remote config, local='comp-lzo'
Это критично? -
Лог подключения на PF
Mar 12 18:44:40 openvpn 10047 TCP connection established with [AF_INET]188.242.193.129:47714
Mar 12 18:44:41 openvpn 10047 188.242.XXX.XXX:47714 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1560', remote='link-mtu 1559'
Mar 12 18:44:41 openvpn 10047 188.242.XXX.XXX:47714 WARNING: 'comp-lzo' is present in local config but missing in remote config, local='comp-lzo'
Mar 12 18:44:41 openvpn 10047 188.242.XXX.XXX:47714 [www.XXXX.ru] Peer Connection Initiated with [AF_INET]188.242.193.129:47714
Mar 12 18:44:41 openvpn 10047 www.XXXX.ru/188.242.XXX.XXX:47714 MULTI_sva: pool returned IPv4=10.0.6.2, IPv6=(Not enabled)
Mar 12 18:44:41 openvpn 10047 www.XXXXX.ru/188.242.XXX.XXX:47714 Bad compression stub decompression header byte: 69 -
А вот как на MT посмотреть лог подключения я незнаю, не подскажите?
-
@dimadur said in mikrotik+openvpn+Pfsense:
WARNING: 'comp-lzo' is present in local config but missing in remote config, local='comp-lzo'
Это критично?Это не помогло?
@pigbrother said in mikrotik+openvpn+Pfsense:
Попробуйте:
Compression сменить на No LZO compression [Legacy....]@dimadur said in mikrotik+openvpn+Pfsense:
WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1560', remote='link-mtu 1559'
Вероятно - да. Не сталкивался.
-
@pigbrother
не помогло :-( -
Ура, поехало. Компрессию Preference нужно было.
-
-
@pigbrother
Включил omit preference - компрессию. и поехало.
Осталось настроить маршруты в сети. -
Включил omit preference - компрессию. и поехало.
МТ не умеет сжимать трафик (?) Печалька (
-
@werter
Вообще , мне кажется хваленые МТ много чего не умеют :-( -
@werter said in mikrotik+openvpn+Pfsense:
МТ не умеет сжимать трафик (?) Печалька (
Много раз упоминалось.
@dimadur said in mikrotik+openvpn+Pfsense:
@werter
Вообще , мне кажется хваленые МТ много чего не умеют :-(Между тем конкретно в плане VPN, МТ предлагают более чем достаточно, как межплатформенные решения, так и проприетарные eoip, ipip.
Стоит добвавить также - МТ одни из немногих устройств умеющих работать с SSTP.@dimadur said in mikrotik+openvpn+Pfsense:
Осталось настроить маршруты в сети.
При правильной настройке маршруты поднимаются сами, полноценный Site-to-Site без вских NAT, ручного добавления маршрутов и т.п.
-
@pigbrother
Я не имел ввиду, что МТ такой "плохой".
Но вот в моем случае, коллеги мне его так расхвалили, мол это дешевое , производительное решение всех задач из коробки.
Я ранее с МТ сталкивался "посколько-постольку" настроить инет и все на этом.
Но на этот раз задача чуть более сложнее.
И так имеется Pf. на нем поднято уже 4 тунеля ОпенВпн с другими Pf и с одним зукселем. особо проблем не было, только вопросы с особыми способами доступа в разные сети.
Вот и с МТ начался танец, бубен не доставал, думал - "решение из коробки и все такое. щас подымим"
Не зная в принципе про микротик известные ньюансы типа нет поддержки UDP в опенвпн, убил час. Честно даже не думал что он не поддерживает, потом нашел хлопнул полбу. Едем дальше, выше переписка следующей проблемы по поводу компресии . тоже пол дня. Ну ладно тоже в принципе давно известный факт. Т.к. решением этой задачи я занимаюсь в свободное время, на сегодня с этим МТ выяснилос- канал поднялся , я с самого МТ пингую все сети за Pf что мне нужны, но !!! как я недавно выяснил - за МТ клиенты эти сети не видят!! Блин опять что то не донастроенно.!!
Так вот я подвожу итог, как мне расхвалили микротик особенно про то что ЭТО РЕШЕНИЕ ИЗ КОРОБКИ - я с ЭТИМ категорически не согласен . Не зная ньюансов МТ из коробки только ТАНЕЦ С БУБНОМ. Ну в итоге конечно же все выяснится и заработает, но осадок от "решения с коробки" останется. -
@dimadur
Маршрутизация не настроена на pfsense . Он ничего не знает о сетях за МТ
Либо ручками прописать статический маршрут , или в разделе client specific overrides заполнить раздел про удаленные сети , чтобы они появились в таблице маршрутизации PF. -
@konstanti
В таблице пф без настройки "client specific overrides"
есть маршрут 10.168.30.0/24 10.0.6.2 UGS 0 1500 ovpns4...
Я читал что "client specific overrides" нужно было заполнить для того что бы клиенты за Пф могли видеть сети за МТ.
При чем пишут , что нужно сети указывать в обратном порядке. типа сеть удаленнаая это сеть за ПФ а локальная это сеть за мт.
Парни , подскажите в поле Common Name в меню "client specific overrides" это тоже что и Common Name при создании сертификата? -
@dimadur сорри , не углядел на картинках ,что все настроено на стороне сервера (для сети 10.168.30.0)
если mikrotik все пингует , значит , про сети за PF знает
а из какой сети не пингуется PF ? 10.168 или 192.168 ??
и еще , в обратную сторону можете пинговать ???
попробуйте tcpdump-ом проверить , где пакеты теряются
и правила на openvpn интрефейсе PF тоже проверьте . Разрешен ли доступ из удаленных сетей к сетям за PF
B -
У меня сети 192.168. нет.
Схема такая. За МТ (адрес от ОпенВпн получает 10.0.6.2 ) сеть 10.168.30.0 - это сеть за МТ.
За PF сеть 10.168.45.0Клиенты за МТ не видят сеть за ПФ(10.168.30.0). так же клиенты не видят адрес 10.0.6.1 (это адрес Пф в тунеле.) ..
Правила в норме . У меня еще 4 тунеля с другими сетями давно работают в них все ок.
Мне кажется проблема где то на стороне МТ. -
@konstanti said in mikrotik+openvpn+Pfsense:
tcpdump-ом
Пора учится пользоватся tcpdump-ом :-)
А в Pf есть что нибудь подобное? -
На картинках чуть выше сервер передает маршрут 10.168.45.0/24 - как сеть за pf
и получает инфу 10.168.30.0/24 - что это удаленная сеть за туннелем.
а Вы сейчас пишете 192.168 ))) ошибка , видимо . про 192.168 я углядел в настройках МТ ( eth 2)
p.s. /diagnostics/packet captureесли клиенты не могут пинговать 10.0.6.1 - возможно , есть какое-то правило со стороны МТ , блокирующее эти пакеты (в обратную сторону пингуются хосты ?? 10.168.45->10.168.30 ? )
-
@konstanti
Упс секунду поправлю.
Да на картинках все верно -
@konstanti said in mikrotik+openvpn+Pfsense:
видимо . про 192.168 я углядел в настройках МТ ( eth 2)
Да , это eth 1 . это интерфейс интернета , МТ просто включен за домашним роутером.
-
@konstanti said in mikrotik+openvpn+Pfsense:
если клиенты не могут пинговать 10.0.6.1 - возможно , есть какое-то правило со стороны МТ , блокирующее эти пакеты (в обратную сторону пингуются хосты ?? 10.168.45->10.168.30 ? )
В том то и дело что правил вообще никаких нету.
-
Packet capture на openvpn интерфейсе PF запустите и гляньте , приходят ли icmp пакеты ?
-
@konstanti said in mikrotik+openvpn+Pfsense:
@dimadur
Packet capture на openvpn интерфейсе PF запустите и гляньте , приходят ли icmp пакеты ?Уже, не приходят. их МТ не отправляет
-
@dimadur said in mikrotik+openvpn+Pfsense:
@konstanti said in mikrotik+openvpn+Pfsense:
@dimadurPacket capture на openvpn интерфейсе PF запустите и гляньте , приходят ли icmp пакеты ?
Уже, не приходят. их МТ не отправляет
Я же привел выше ссылку на рабочие конфиги. И для PF и для МТ, с нумерацией сетей.
Никаких правил на МТ ни firewall, ни NAT создавать не надо.
@dimadur said in mikrotik+openvpn+Pfsense:
Я читал что "client specific overrides" нужно было заполнить для того что бы клиенты за Пф могли видеть сети за МТ.
Да, и это обязательное условие для доступа в сеть за любым клиентом Open VPN.
@dimadur said in mikrotik+openvpn+Pfsense:
МТ просто включен за домашним роутером.
А что для домашней сети является default GW? МТ или домашний роутер?
@dimadur said in mikrotik+openvpn+Pfsense:
Парни , подскажите в поле Common Name в меню "client specific overrides" это тоже что и Common Name при создании сертификата?
Да
@dimadur said in mikrotik+openvpn+Pfsense:
При чем пишут , что нужно сети указывать в обратном порядке. типа сеть удаленнаая это сеть за ПФ а локальная это сеть за мт.
Сети рассматриваются со стороны сервера. Поэтому в
CSC в IPv4 Local Network/s указывается сеть за PF\сети, к котрым PF имеет маршруты.
А в IPv4 Remote Network/s - сеть за клиентом. -
@pigbrother Доброе утро
Насколько я понял , глядя на картинку , сетей 2
Одна 192.168.2.0/24 - напрямую подключена к домашнему маршрутизатору и к МТ(ether1) . А вот 10.168.30.0/24 уже напрямую подключена только к MT (ether2) . Т е для этой сети MT должен являться шлюзом по умолчанию , единственным и неповторимым .
Тс , а 10.0.6.2 пингуется из сети 10.168 ???? -
@konstanti said in mikrotik+openvpn+Pfsense:
Тс , а 10.0.6.2 пингуется из сети 10.168 ????
Добрый вечер али ночь :-) добрался до ПК.
Что касается пинга из 10.168. (насколько я понял вопрос про ether2 с сетью 10.168.30.0/24 ) то да. адрес 10.0.6.2 пингуется.
Но 10.0.6.1 (это IP ПФ) уже нет.
По поводу шлюза по умолчанию для сети ether2 тут для меня вопрос.
Есть такой маршрут 0 A S 0.0.0.0/0 192.168.2.1 1
Для клиентов естественно в этой сети шлюз один .
Что имелось в виду? -
@pigbrother said in mikrotik+openvpn+Pfsense:
А что для домашней сети является default GW? МТ или домашний роутер?
Объясню, дело в том что МТ стоит сейчас за домашним роутером, в испытательных целях.
В будущем этот МТ так же встанет на рабочее место в сеть за НАТ.
Домашний ПК он подключен в домашний роутер.
МТ за домашним роутером (ASUS)
К МТ подключен ноутбук-испытатель. С него я и пытаюсь настрочить доступ к сети за ПФ.
