mikrotik+openvpn+Pfsense



  • Парни, всем привет.
    Прошу направить на путь истеный :-)
    Пытаюсь микротиком (МТ) как клиентом подключится к серверу OpenVPN (Pfsense)
    Делаю вот по этому топику https://forum.netgate.com/topic/97011/solved-site-to-site-openvpn-between-pfsense-and-mikrotik

    Тунель поднимается, но сеть невидно ни туда ни сюда. При этом даже адреса самого тунеля типа (Pfsense-10.0.6.1 и МТ-10.0.6.2 ) не пингуются :-( ... Чувствую где то подвох в микротике.
    Модель МТ hEX..



  • @dimadur Связка рабочая и вовсю используется.
    Ранее (давно) приводил в теме конфиги PF и Микротика.
    Попробуйте найти поиском.

    Вот, нашел. Для 2.3.х. В 2.4 могут быть небольшие отличия.
    https://forum.netgate.com/topic/135133/mikrotik-pfsense-openvpn/15
    Редактировать конфиг pfSense вручную не надо, приведен просто для справки, после настроек в GUI вы должны получить подобный.



  • @pigbrother
    Очень странно. Но у меня не поднимается..
    Вернее туннель поднимается но трафик не ходит в обе стороны.



  • @dimadur Что-то явно не настроено или настроено неверно. Поднимите для теста клиента с теми же настройками на любом другом устройстве, на Windows например.

    Разрешающее правило

    Firewall-Rules-OpenVPN

    IPv4 * * * * * * none

    Создано?

    PF и Микротик - шлюзы по умолчанию в своих сетях?
    Брандмауэры на целевых компьютерах отключены?



  • @dimadur
    Доброго дня
    Таблицы маршрутизации с обеих сторон покажите для начала, и настройки увидеть тоже было бы желательно





  • @dimadur
    И есть ли таблица маршрутизации pf?
    И какие правила openvpn интерфейсе?



  • @konstanti said in mikrotik+openvpn+Pfsense:

    И какие правила openvpn интерфейсе?

    Я об этом первым делом спросил. Проблема, похоже, в самом туннеле.

    @DIMADUR , вставляйте картинки прямо в тему.
    Профиль PPP на Микротике создавать не надо.

    На PF:
    похоже, неверно создан\выбран сертификат сервера (оно же пишет - Server:NO). Вероятно - создан User вместо Server.

    Попробуйте:
    Compression сменить на No LZO compression [Legacy....]

    NCP Algorithms - попробуйте None

    DH Parameter Length - 1024

    @dimadur said in mikrotik+openvpn+Pfsense:

    Тунель поднимается, но сеть невидно ни туда ни сюда.

    А что в логах Open VPN на PF?



  • pfsense
    10.0.6.0/24 10.0.6.2 UGS 0 1500 ovpns4
    10.0.6.1 link#11 UHS 0 16384 lo0
    10.0.6.2 link#11 UH 0 1500 ovpns4

    И МТ

    DST-ADDRESS PREF-SRC GATEWAY DISTANCE

    0 A S 0.0.0.0/0 192.168.2.1 1
    1 ADC 10.0.6.0/24 10.0.6.2 ovpn-out5 0
    2 ADC 10.168.30.0/24 10.168.30.1 bridge5 0
    3 ADS 10.168.45.0/24 10.0.6.1 1
    4 ADC 192.168.2.0/24 192.168.2.150 ether1 0



  • @pigbrother
    Я тоже дуамю, что не правильно в PF настроенно, особенно с сертификатами что то неверно



  • @dimadur said in mikrotik+openvpn+Pfsense:

    Я тоже дуамю, что не правильно в PF настроенно, особенно с сертификатами что то неверно

    Так что мешает исправить?



  • поправил. да действительно сертификат был -юзер.
    сделал серверным.
    но пока безрезультатно



  • @dimadur said in mikrotik+openvpn+Pfsense:

    но пока безрезультатно

    @pigbrother said in mikrotik+openvpn+Pfsense:

    что в логах Open VPN на PF?

    И в логе МТ?

    Указанные выше настройки менять пробовали?



  • @pigbrother
    да настройки сменил
    Вот в логах PF есть
    WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1560', remote='link-mtu 1559'
    WARNING: 'comp-lzo' is present in local config but missing in remote config, local='comp-lzo'
    Это критично?



  • Лог подключения на PF
    Mar 12 18:44:40 openvpn 10047 TCP connection established with [AF_INET]188.242.193.129:47714
    Mar 12 18:44:41 openvpn 10047 188.242.XXX.XXX:47714 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1560', remote='link-mtu 1559'
    Mar 12 18:44:41 openvpn 10047 188.242.XXX.XXX:47714 WARNING: 'comp-lzo' is present in local config but missing in remote config, local='comp-lzo'
    Mar 12 18:44:41 openvpn 10047 188.242.XXX.XXX:47714 [www.XXXX.ru] Peer Connection Initiated with [AF_INET]188.242.193.129:47714
    Mar 12 18:44:41 openvpn 10047 www.XXXX.ru/188.242.XXX.XXX:47714 MULTI_sva: pool returned IPv4=10.0.6.2, IPv6=(Not enabled)
    Mar 12 18:44:41 openvpn 10047 www.XXXXX.ru/188.242.XXX.XXX:47714 Bad compression stub decompression header byte: 69



  • А вот как на MT посмотреть лог подключения я незнаю, не подскажите?



  • @dimadur said in mikrotik+openvpn+Pfsense:

    WARNING: 'comp-lzo' is present in local config but missing in remote config, local='comp-lzo'
    Это критично?

    Это не помогло?

    @pigbrother said in mikrotik+openvpn+Pfsense:

    Попробуйте:
    Compression сменить на No LZO compression [Legacy....]

    @dimadur said in mikrotik+openvpn+Pfsense:

    WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1560', remote='link-mtu 1559'

    Вероятно - да. Не сталкивался.



  • @pigbrother
    не помогло :-(



  • Ура, поехало. Компрессию Preference нужно было.



  • @dimadur said in mikrotik+openvpn+Pfsense:

    Компрессию Preference нужно было.

    А точнее?



  • @pigbrother
    Включил omit preference - компрессию. и поехало.
    Осталось настроить маршруты в сети.



  • Включил omit preference - компрессию. и поехало.

    МТ не умеет сжимать трафик (?) Печалька (



  • @werter
    Вообще , мне кажется хваленые МТ много чего не умеют :-(



  • @werter said in mikrotik+openvpn+Pfsense:

    МТ не умеет сжимать трафик (?) Печалька (

    Много раз упоминалось.

    @dimadur said in mikrotik+openvpn+Pfsense:

    @werter
    Вообще , мне кажется хваленые МТ много чего не умеют :-(

    Между тем конкретно в плане VPN, МТ предлагают более чем достаточно, как межплатформенные решения, так и проприетарные eoip, ipip.
    Стоит добвавить также - МТ одни из немногих устройств умеющих работать с SSTP.

    @dimadur said in mikrotik+openvpn+Pfsense:

    Осталось настроить маршруты в сети.

    При правильной настройке маршруты поднимаются сами, полноценный Site-to-Site без вских NAT, ручного добавления маршрутов и т.п.



  • @pigbrother
    Я не имел ввиду, что МТ такой "плохой".
    Но вот в моем случае, коллеги мне его так расхвалили, мол это дешевое , производительное решение всех задач из коробки.
    Я ранее с МТ сталкивался "посколько-постольку" настроить инет и все на этом.
    Но на этот раз задача чуть более сложнее.
    И так имеется Pf. на нем поднято уже 4 тунеля ОпенВпн с другими Pf и с одним зукселем. особо проблем не было, только вопросы с особыми способами доступа в разные сети.
    Вот и с МТ начался танец, бубен не доставал, думал - "решение из коробки и все такое. щас подымим"
    Не зная в принципе про микротик известные ньюансы типа нет поддержки UDP в опенвпн, убил час. Честно даже не думал что он не поддерживает, потом нашел хлопнул полбу. Едем дальше, выше переписка следующей проблемы по поводу компресии . тоже пол дня. Ну ладно тоже в принципе давно известный факт. Т.к. решением этой задачи я занимаюсь в свободное время, на сегодня с этим МТ выяснилос- канал поднялся , я с самого МТ пингую все сети за Pf что мне нужны, но !!! как я недавно выяснил - за МТ клиенты эти сети не видят!! Блин опять что то не донастроенно.!!
    Так вот я подвожу итог, как мне расхвалили микротик особенно про то что ЭТО РЕШЕНИЕ ИЗ КОРОБКИ - я с ЭТИМ категорически не согласен . Не зная ньюансов МТ из коробки только ТАНЕЦ С БУБНОМ. Ну в итоге конечно же все выяснится и заработает, но осадок от "решения с коробки" останется.



  • @dimadur
    Маршрутизация не настроена на pfsense . Он ничего не знает о сетях за МТ
    Либо ручками прописать статический маршрут , или в разделе client specific overrides заполнить раздел про удаленные сети , чтобы они появились в таблице маршрутизации PF.



  • @konstanti
    В таблице пф без настройки "client specific overrides"
    есть маршрут 10.168.30.0/24 10.0.6.2 UGS 0 1500 ovpns4...
    Я читал что "client specific overrides" нужно было заполнить для того что бы клиенты за Пф могли видеть сети за МТ.
    При чем пишут , что нужно сети указывать в обратном порядке. типа сеть удаленнаая это сеть за ПФ а локальная это сеть за мт.
    Парни , подскажите в поле Common Name в меню "client specific overrides" это тоже что и Common Name при создании сертификата?



  • @dimadur сорри , не углядел на картинках ,что все настроено на стороне сервера (для сети 10.168.30.0)

    если mikrotik все пингует , значит , про сети за PF знает
    а из какой сети не пингуется PF ? 10.168 или 192.168 ??
    и еще , в обратную сторону можете пинговать ???
    попробуйте tcpdump-ом проверить , где пакеты теряются
    и правила на openvpn интрефейсе PF тоже проверьте . Разрешен ли доступ из удаленных сетей к сетям за PF
    B



  • У меня сети 192.168. нет.
    Схема такая. За МТ (адрес от ОпенВпн получает 10.0.6.2 ) сеть 10.168.30.0 - это сеть за МТ.
    За PF сеть 10.168.45.0

    Клиенты за МТ не видят сеть за ПФ(10.168.30.0). так же клиенты не видят адрес 10.0.6.1 (это адрес Пф в тунеле.) ..
    Правила в норме . У меня еще 4 тунеля с другими сетями давно работают в них все ок.
    Мне кажется проблема где то на стороне МТ.



  • @konstanti said in mikrotik+openvpn+Pfsense:

    tcpdump-ом

    Пора учится пользоватся tcpdump-ом :-)
    А в Pf есть что нибудь подобное?



  • @dimadur

    На картинках чуть выше сервер передает маршрут 10.168.45.0/24 - как сеть за pf
    и получает инфу 10.168.30.0/24 - что это удаленная сеть за туннелем.
    а Вы сейчас пишете 192.168 ))) ошибка , видимо . про 192.168 я углядел в настройках МТ ( eth 2)
    p.s. /diagnostics/packet capture

    если клиенты не могут пинговать 10.0.6.1 - возможно , есть какое-то правило со стороны МТ , блокирующее эти пакеты (в обратную сторону пингуются хосты ?? 10.168.45->10.168.30 ? )



  • @konstanti
    Упс секунду поправлю.
    Да на картинках все верно



  • @konstanti said in mikrotik+openvpn+Pfsense:

    видимо . про 192.168 я углядел в настройках МТ ( eth 2)

    Да , это eth 1 . это интерфейс интернета , МТ просто включен за домашним роутером.



  • @konstanti said in mikrotik+openvpn+Pfsense:

    если клиенты не могут пинговать 10.0.6.1 - возможно , есть какое-то правило со стороны МТ , блокирующее эти пакеты (в обратную сторону пингуются хосты ?? 10.168.45->10.168.30 ? )

    В том то и дело что правил вообще никаких нету.



  • @dimadur

    Packet capture на openvpn интерфейсе PF запустите и гляньте , приходят ли icmp пакеты ?



  • @konstanti said in mikrotik+openvpn+Pfsense:

    @dimadur
    Packet capture на openvpn интерфейсе PF запустите и гляньте , приходят ли icmp пакеты ?

    Уже, не приходят. их МТ не отправляет



  • @dimadur said in mikrotik+openvpn+Pfsense:

    @konstanti said in mikrotik+openvpn+Pfsense:

    @dimadur
    

    Packet capture на openvpn интерфейсе PF запустите и гляньте , приходят ли icmp пакеты ?

    Уже, не приходят. их МТ не отправляет

    Я же привел выше ссылку на рабочие конфиги. И для PF и для МТ, с нумерацией сетей.

    Никаких правил на МТ ни firewall, ни NAT создавать не надо.

    @dimadur said in mikrotik+openvpn+Pfsense:

    Я читал что "client specific overrides" нужно было заполнить для того что бы клиенты за Пф могли видеть сети за МТ.

    Да, и это обязательное условие для доступа в сеть за любым клиентом Open VPN.

    @dimadur said in mikrotik+openvpn+Pfsense:

    МТ просто включен за домашним роутером.

    А что для домашней сети является default GW? МТ или домашний роутер?

    @dimadur said in mikrotik+openvpn+Pfsense:

    Парни , подскажите в поле Common Name в меню "client specific overrides" это тоже что и Common Name при создании сертификата?

    Да

    @dimadur said in mikrotik+openvpn+Pfsense:

    При чем пишут , что нужно сети указывать в обратном порядке. типа сеть удаленнаая это сеть за ПФ а локальная это сеть за мт.

    Сети рассматриваются со стороны сервера. Поэтому в
    CSC в IPv4 Local Network/s указывается сеть за PF\сети, к котрым PF имеет маршруты.
    А в IPv4 Remote Network/s - сеть за клиентом.



  • @pigbrother Доброе утро
    Насколько я понял , глядя на картинку , сетей 2
    Одна 192.168.2.0/24 - напрямую подключена к домашнему маршрутизатору и к МТ(ether1) . А вот 10.168.30.0/24 уже напрямую подключена только к MT (ether2) . Т е для этой сети MT должен являться шлюзом по умолчанию , единственным и неповторимым .
    Тс , а 10.0.6.2 пингуется из сети 10.168 ????



  • @konstanti said in mikrotik+openvpn+Pfsense:

    Тс , а 10.0.6.2 пингуется из сети 10.168 ????

    Добрый вечер али ночь :-) добрался до ПК.
    Что касается пинга из 10.168. (насколько я понял вопрос про ether2 с сетью 10.168.30.0/24 ) то да. адрес 10.0.6.2 пингуется.
    Но 10.0.6.1 (это IP ПФ) уже нет.
    По поводу шлюза по умолчанию для сети ether2 тут для меня вопрос.
    Есть такой маршрут 0 A S 0.0.0.0/0 192.168.2.1 1
    Для клиентов естественно в этой сети шлюз один .
    Что имелось в виду?



  • @pigbrother said in mikrotik+openvpn+Pfsense:

    А что для домашней сети является default GW? МТ или домашний роутер?

    Объясню, дело в том что МТ стоит сейчас за домашним роутером, в испытательных целях.
    В будущем этот МТ так же встанет на рабочее место в сеть за НАТ.
    Домашний ПК он подключен в домашний роутер.
    МТ за домашним роутером (ASUS)
    К МТ подключен ноутбук-испытатель. С него я и пытаюсь настрочить доступ к сети за ПФ.


Log in to reply