Рутиране при VPN между на две мрежи с pfSense

[mpadmin]

Нов съм в MikroTik, но реших да го ползвам за отдалечени места и малки офиси, като ще държи site-to-site VPN връзка. По много причини не искам IPsec и ще ползвам OpenVPN. Основните ми рутери са pfSense, успях да се преборя да пусна Peer to Peer (SLS/TLS), pfSense е сървър, MikroTik е клиент, тунела работи и от терминала на MikroTik имам ping към две машини от другата страна на тунела.

Не мога обаче да дам достъп на машините зад MikroTik. Опитах да потърся примери, изкачат предимно индийци с неясни слайдове. Ето какво съм направил до момента:

1. Мрежите са следните (с условни публични адреси):

192.168.151.0/24 -> (pfSense 1.1.1.1) -> Internet <- 2.2.2.2 <- 192.168.14.0/24

2. На pfSense е настроен OpenVPN сървър с необходимите сертификати, ползва се IPv4 Tunnel Network 10.30.30.0/29. При вдигането на тунела MikroTik получава 10.30.30.2, от Terminal имам ping към 192.168.151.7 и всичко е наред. От машина зад MikroTik обаче нямам ping към нито един адрес от мрежа 192.168.151.0/24.

Играх си с NAT правила, но единственото, което работи е да пусна srcnat през ovpn-tunnel с адресите на мрежите и masquerade. На мен обаче ми трябва само чисто рутиране между двете мрежи, а не да се крият зад рутера. Предполагам, че пропускам нещо много съществено и ще се радвам някой да ми помогне.

[Mupo neTkoB]

/ip route
add comment="To Other Offices" distance=1 dst-address=192.168.151.0/24 \
    gateway=OPEN-VPN-INTERFACE

това предполаам си го сложил на клиентските микротици?

[mpadmin]

Преди 1 час, Mupo neTkoB написа:

/ip route
add comment="To Other Offices" distance=1 dst-address=192.168.151.0/24 \
    gateway=OPEN-VPN-INTERFACE

това предполаам си го сложил на клиентските микротици?

Не го бях добавил изрично, защото вече го имаше след създаването и вдигането на OVPN Client при MikroTik. Все пак го добавих пак, но отново имам достъп до мрежа 192.168.151.0/24 само от терминала...

[Mupo neTkoB]

значи следва да си оправиш рутирането по същия начин и от другата страна

[mpadmin]

преди 1 минута, Mupo neTkoB написа:

значи следва да си оправиш рутирането по същия начин и от другата страна

Да, ще попитам във pfSense форума, със сигурност там се крие още нещо...

[Mupo neTkoB]

и провери дали машините които искаш да достъпваш си им махнал защитната стена. да не случайно бозата да ти е забранено пингване от различна събнет

[111111]

По подрзбиране е спряно пингването от друга мрежа

[mpadmin]

Преди 13 часа, Mupo neTkoB написа:

и провери дали машините които искаш да достъпваш си им махнал защитната стена. да не случайно бозата да ти е забранено пингване от различна събнет

Не е забранен ICMP, защото от терминала на MikroTik имам ping към всички машини в мрежата и pfSense от другата страна. Също като пусна в NAT masquerade на VPN връзката и машините зад MikroTik вече имат достъп до другата мрежа, но не и обратното (логично). Очевидно нещо бъркам с рутирането и вместо site-to-site се получава само remote access. Скоро ще се предам и ще направя тунела с два MikroTik-а, като втория ще е на отдалеченото място като втори рутер, към който от pfSense ще пусна статично рутиране. Но ми се иска да става директно...

Edited March 22, 2016 by mpadmin

[iv.]

pfSense  - знае ли като дойде заявка от машината зад микротика накъде да я върне ? 

сложи мрежата на машината зад микротика да се рутира в pfSense - с гейт връзката на pfSense към микротика.

 

 

Just now, slavev написа:

pfSense  - знае ли като дойде заявка от машината зад микротика накъде да я върне ? 

сложи мрежата на машината зад микротика да се рутира в pfSense - с гейт връзката на pfSense към микротика.

 

 

малко го написах и аз 

ма мисля че ще хванеш идеята 

:-)

[mpadmin]

На 22.03.2016 г. at 23:02, slavev написа:

pfSense  - знае ли като дойде заявка от машината зад микротика накъде да я върне ? 

сложи мрежата на машината зад микротика да се рутира в pfSense - с гейт връзката на pfSense към микротика.

 

 

малко го написах и аз 

ма мисля че ще хванеш идеята 

:-)

При връзка между pfSense - pfSense на всяка се задават двете мрежи (local/remote) и всяка знае от къде тръгва и къде стига. И в сегашния случай на pfSense съм задал двете мрежи, но в MikroTik подобно нещо не виждам как се задава, Рових по профилите на PPP връзката, но изобщо не се получи желаният ефект - връзката вместо site-to-site си остава client-to-site. Има някакво неразбирателство със сигурност между pfSense и MikroTik по отношение на рутирането, но засега не мога да се справя и да го проследя, липсата на опит с MikroTik си казва думата и няма как да се появи за една седмица  

Ще пусна един MikroTik в реална връзка и ще го боря дистанционно и ако не стане в разумен срок ще купувам по две кутийки за да не ровя кой с какво е съвместим и с какво не.

Edited March 24, 2016 by mpadmin

[111111]

До каде води нечетенето

Рутирай си трафика оказвайки от каде на каде и в микротика

IP/ROUTING

може и routing mark рутове да сложиш

[iv.]

Ако локалната мрежа на pfSense е 10.10.3.0/24 и VPN връзката ти се казва условно LINK  в микротика рутираш връзката:

ip .... Route

демек 10.10.3.0/24 да използва гейт vpn "LINK"

 

.......................

/ip route

 

add distance=1 dst-address=10.10.3.0/24 gateway="Link"

[mpadmin]

Успях да го направя, но се оказа доста заплетено и може би не е най-правилният начин. Ето какво направих:

Задачата е мрежа site-to-site между pfSense и MikroTik:

192.168.151.0/24 -> (pfSense 1.1.1.1) -> Internet <- (2.2.2.2 MikroTik) <- 192.168.14.0/24

При pfSense:

1. System -> Cert Manager -> CAs
Тук се прави нов CA (например vpn-tunnel-ca). След това се експортира "CA cert" във файл.

2. System -> Cert Manager -> Certificates
Тук се създават два сертификата - един за VPN сървъра (vpn-tunnel) и един за клиента (MikroTik). И двата трябва да са към създаденото по-горе CA.  След създаването на сертификата за клиента (Common Name: mik-vpn) се експортират неговите cert и key файлове.

3. VPN -> OpenVPN -> Server
Тук се създава нов VPN Server със следните параметри:

Server Mode: Peer to Peer (SSL/TLS)
Protocol: TCP
Device Mode: tun
Interface: ITD
Local port: 24100
TLS Authentication: маха се отметката, MikroTik не поддържа shared TLS key.
Peer Certificate Authority: vpn-tunnel-ca
Server Certificate: vpn-tunnel
Encryption algorithm: BF-CBC (128-bit)
Auth Digest Algorithm: SHA1 (160-bit)
IPv4 Tunnel Network: 10.30.30.0/29
IPv4 Local Network/s: 192.168.151.0/24
IPv4 Remote Network/s: 192.168.14.0/24
Compression: No Preference
Advanced: client-to-client

4. VPN -> OpenVPN -> Client Specific Overrides
Тук се създава нов override със следните параметри:

Common name: mik-vpn
Advanced: push "route 192.168.151.0 255.255.255.0";iroute 192.168.14.0 255.255.255.0
 

При MikroTik:

1. Копират се във Files и се импортират всички сертификати, заедно с key.

2. PPP -> Interface - прави се нов OVPN Client със следните параметри:
Name: ovpn-office
Connect To: 1.1.1.1
Port: 24100
Mode: ip
User: any
Auth: sha 1
Cipher: blowfish 128
Add Default Route: не се маркира

3. IP -> Firewall -> NAT - първо добавих accept правило между мрежите, но се оказа че през него нищо не минава (дори да е на първо място) и го махнах.

Всичко работи както се очаква, всички услуги от двете мрежи са достъпни (сървъри, телефония и т.н.). Благодаря на всички, отзовали се да помогнат.

Edited March 24, 2016 by mpadmin

[iv.]

Може ли един въпрос?

През кое външно IP излиза трафика на мрежата зад микротика ?

 

[111111]

Защо се нервите и си губите времето с тоя калпав OVPN, aми не си пуснете един SSTP?

[mpadmin]

Преди 15 часа, slavev написа:

Може ли един въпрос?

През кое външно IP излиза трафика на мрежата зад микротика ?

 

Излиза през неговото външно IP, ако това питаш, не минава през тунела.

Преди 1 час, 111111 написа:

Защо се нервите и си губите времето с тоя калпав OVPN, aми не си пуснете един SSTP?

Имаш ли ръководство за site-to-site между pfSense и MikroTik с SSTP?