+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

OpenVPN и маршрутизация

OpenVPN и маршрутизация, RouterOS

nellson

Guest

06.11.2019 19:52:00

Привет! Я только что купил свой первый MikroTik RB952UI-5AC2 с прошивкой 6.45.7 и почти всё настроил, но у меня возникли некоторые проблемы с туннелем openvpn. Настройка следующая: Mikrotik (192.168.88.1/24) <-10.30.30.2 openvpn туннель 10.30.30.1 → pfsense (172.17.0.1/24) Что работает! Туннель установлен, и роутеры могут пинговать друг друга. Клиенты с стороны pfsense в сети (172.17.0.0/24) могут пинговать openvpn интерфейс на mikrotik (10.30.30.2). На роутере mikrotik можно пинговать клиентов в 172.17.0.0/24, если это делается из интерфейса ovpn-out. Что не работает Клиенты в 192.168.88.0/24 могут пинговать 10.30.30.2, но не 10.30.30.1 (pfSense ovpn интерфейс) Клиенты из 192.168.88.0/24 не могут пинговать клиентов в 172.17.0.0/24 На роутере mikrotik из LAN интерфейса (192.168.88.1) нельзя пинговать 10.30.30.1 или 10.30.30.2 Таблица маршрутизации Mikrotik DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADS 0.0.0.0/0 192.168.1.1 1 1 ADC 10.30.30.0/24 10.30.30.2 ovpn-out 0 2 ADS 172.17.0.0/24 10.30.30.1 1 3 ADC 192.168.1.0/24 192.168.1.7 ether1 0 4 ADC 192.168.88.0/24 192.168.88.1 bridge 0 Что я здесь упустил?

nellson Guest	#2 0 20.11.2019 20:35:00 Спасибо за ответ. Я двойной проверил на боксе pfsense, маршруты к 192.168.88.0/24 есть как в таблице маршрутизации ядра, так и в конфигурации openvpn. Бокс pfsense работает как сервер. Да, именно это я и имел в виду.

sindy Guest	#3 0 20.11.2019 20:43:00 Покажи файл opevnpn.conf pfSense и файл конфигурации клиента (заменив публичные IP-адреса на условные имена), пожалуйста.

nellson

Guest

21.11.2019 08:21:00

Вот файл server.conf с маршрутизатора pfsense. Я не знаю, как экспортировать конфигурацию клиента с маршрутизатора MikroTik. server.conf на боксе pfsense dev ovpns2 verb 1 dev-type tun dev-node /dev/tun2 writepid /var/run/openvpn_server2.pid #user nobody #group nobody script-security 3 daemon keepalive 10 60 ping-timer-rem persist-tun persist-key proto tcp4-server cipher AES-256-CBC auth SHA1 up /usr/local/sbin/ovpn-linkup down /usr/local/sbin/ovpn-linkdown local PFSENSEBOX tls-server server 10.30.30.0 255.255.255.0 client-config-dir /var/etc/openvpn-csc/server2 ifconfig 10.30.30.1 10.30.30.2 tls-verify “/usr/local/sbin/ovpn_auth_verify tls ‘pfsense-openvpn-administration’ 1” lport 1195 management /var/etc/openvpn/server2.sock unix push “route 172.17.0.0 255.255.255.0” route 192.168.88.0 255.255.255.0 ca /var/etc/openvpn/server2.ca cert /var/etc/openvpn/server2.cert key /var/etc/openvpn/server2.key dh /etc/dh-parameters.1024 ncp-ciphers AES-256-CBC topology subnet

sindy

Guest

21.11.2019 08:42:00

На Mikrotik все данные конфигурации находятся в одном общем блоке, поэтому /export hide-sensitive (см. мою автоматическую подпись ниже для дальнейших советов по анонимности) — это то, что нужно опубликовать, если возникнет необходимость. Однако меня на самом деле интересовал файл конфигурации клиента для клиента Mikrotik, который находится в директории /var/etc/openvpn-csc/server2 на pfsense, потому что именно там должен быть указан маршрут к 192.168.88.0/24, в дополнение к таблице маршрутизации ядра. Ключевое слово для этого (которое сообщает внутренним таблицам маршрутизации сервера OpenVPN, что некоторые подсети доступны через конкретное клиентское соединение) — это i route.

nellson

Guest

21.11.2019 21:01:00

Я провел дальнейшую отладку на pfsensebox, используя захват пакетов. В этом тесте у меня есть клиент (172.17.0.20), который подключен к LAN-интерфейсу pfsensebox и пингует LAN-адрес mikrotik'а 192.168.88.1. Интересно, что я вижу пакеты, покидающие интерфейс OpenVPN на pfsense, но от маршрутизатора mikrotik нет ответа. 21:34:03.075111 IP 172.17.0.20 > 192.168.88.1: ICMP echo request, id 31070, seq 0, length 64 21:34:04.076204 IP 172.17.0.20 > 192.168.88.1: ICMP echo request, id 31070, seq 1, length 64 21:34:05.080231 IP 172.17.0.20 > 192.168.88.1: ICMP echo request, id 31070, seq 2, length 64 Это должно означать, что маршрутизация действительно работает и правильно настроена на стороне pfsense. В этом каталоге (/var/etc/openvpn-csc/server2) на pfsensebox нет специфичного файла конфигурации для клиента.

sindy

Guest

21.11.2019 21:20:00

Это неверное заключение. Пакеты, содержащие ICMP-запросы к Mikrotik, зашифрованы, поэтому, даже если вы их увидите по пути к Tik, вы не увидите фактический адрес назначения, только публичный адрес Tik, и они будут отображаться как TCP-пакеты, а не ICMP. На самом деле вы видите открытые пакеты, которые идут от ядра к процессу OpenVPN, по единому общему TUN (или TAP, это несущественно) виртуальному интерфейсу, который процесс OpenVPN использует для трафика от/к всем клиентам, вместо того чтобы создавать отдельный интерфейс для каждого клиента. Следовательно, он должен сам знать, какой трафик, поступивший через этот единый общий виртуальный интерфейс, отправлять через какой туннель. И для этого в файле конфигурации клиента необходима директива iroute. Без этого элемента внутренней конфигурации процесс OpenVPN только знает адреса клиентов, которые ему назначены (в вашем случае 10.30.30.2), но не знает адреса подсетей этих клиентов. Конечно, потому что вы не создали ее. Узнайте, как это должно выглядеть, вставьте iroute 192.168.88.0/24 в файл, переподключите Tik, и у вас всё будет хорошо.

nellson Guest	#8 0 24.11.2019 16:37:00 Спасибо, сэр. Добавление маршрута 192.168.88.0 в CSO действительно решило проблему.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры