Рутиране при VPN между на две мрежи с pfSense

[mpadmin]

Нов съм в MikroTik, но реших да го ползвам за отдалечени места и малки офиси, като ще държи site-to-site VPN връзка. По много причини не искам IPsec и ще ползвам OpenVPN. Основните ми рутери са pfSense, успях да се преборя да пусна Peer to Peer (SLS/TLS), pfSense е сървър, MikroTik е клиент, тунела работи и от терминала на MikroTik имам ping към две машини от другата страна на тунела.

Не мога обаче да дам достъп на машините зад MikroTik. Опитах да потърся примери, изкачат предимно индийци с неясни слайдове. Ето какво съм направил до момента:

1. Мрежите са следните (с условни публични адреси):

192.168.151.0/24 -> (pfSense 1.1.1.1) -> Internet <- 2.2.2.2 <- 192.168.14.0/24

2. На pfSense е настроен OpenVPN сървър с необходимите сертификати, ползва се IPv4 Tunnel Network 10.30.30.0/29. При вдигането на тунела MikroTik получава 10.30.30.2, от Terminal имам ping към 192.168.151.7 и всичко е наред. От машина зад MikroTik обаче нямам ping към нито един адрес от мрежа 192.168.151.0/24.

Играх си с NAT правила, но единственото, което работи е да пусна srcnat през ovpn-tunnel с адресите на мрежите и masquerade. На мен обаче ми трябва само чисто рутиране между двете мрежи, а не да се крият зад рутера. Предполагам, че пропускам нещо много съществено и ще се радвам някой да ми помогне.

[iv.]

Ок

Sent from my XT1080 using Tapatalk

[111111]

Преди 2 часа, mpadmin написа:

Имаш ли ръководство за site-to-site между pfSense и MikroTik с SSTP?

Творческо мислене не ръководство трябва 

но пък може да питаш ТУК

http://wiki.mikrotik.com/wiki/Manual:Interface/SSTP

[mpadmin]

преди 24 минути, 111111 написа:

Творческо мислене не ръководство трябва 

но пък може да питаш ТУК

http://wiki.mikrotik.com/wiki/Manual:Interface/SSTP

Благодаря за линка, но pfSense не поддържа SSTP. Всичките ми основни рутери са на pfSense и затова търсех (и намерих) решение с OpenVPN.

[111111]

Ползвай L2TP

[JohnTRIVOLTA]

преди 30 минути, 111111 написа:

Ползвай L2TP

Комбиниран с IPSEC пример, ако се налага !

[mpadmin]

Преди 3 часа, JohnTRIVOLTA написа:

Комбиниран с IPSEC пример, ако се налага !

Със сигурност е много по-добро решение от OpenVPN (особено с липсата на UDP) , но не е достатъчно гъвкаво за моите цели. Имам нужда рутерите винаги да се свързват, независимо дали са адресът им е статичен, динамичен или са през 3G рутер. Но много се отклоняваме от темата - аз търсех решение конкретно за pfSense - MikroTik с OpenVPN и site-to-site и го направих. За мен конкретната тема приключи, кой е по-добър начин за свързване и с какво е съвсем друга безкрайна тема

[JohnTRIVOLTA]

Преди 2 часа, mpadmin написа:

Със сигурност е много по-добро решение от OpenVPN (особено с липсата на UDP) , но не е достатъчно гъвкаво за моите цели. Имам нужда рутерите винаги да се свързват, независимо дали са адресът им е статичен, динамичен или са през 3G рутер. Но много се отклоняваме от темата - аз търсех решение конкретно за pfSense - MikroTik с OpenVPN и site-to-site и го направих. За мен конкретната тема приключи, кой е по-добър начин за свързване и с какво е съвсем друга безкрайна тема

А бе чак безкрайна то си до какво искаш да постигнеш с това което разполагаш , та мисля, че L2TP е достатъчно гъвкав 

[mpadmin]

Открих грешка в решението ми - добавя се напълно излишен път (не пречи на връзката, но и не му е там мястото). Трябва реда:

Advanced: push "route 192.168.151.0 255.255.255.0";iroute 192.168.14.0 255.255.255.0

Да се замени с:

Advanced: iroute 192.168.14.0 255.255.255.0