mikrotik+freebsd+openvpn

[Rainmib]

Имеем настроенный сервер Openvnp сервер на freebsd.

конфиг сервера:

port 1194

proto tcp

dev tun0

topology subnet

ca keys/ss_ca/ca.crt

cert keys/ss_ca/ss_server.crt

key keys/ss_ca/ss_server.key

dh keys/ss_ca/dh2048.pem

server 10.10.200.0 255.255.255.0

crl-verify keys/ss_ca/crl.pem

user nobody

group nogroup

status servers/SS_VPN/logs/openvpn-status.log

log-append servers/SS_VPN/logs/openvpn.log verb 5 mute 20 max-clients 100 keepalive 10 120

 

push "route 172.16.0.0 255.255.254.0"

 

client-config-dir /usr/local/etc/openvpn/servers/SS_VPN/ccd

 

route 192.168.96.0 255.255.240.0

 

#client-to-client - с такой строчкой которая якобы должна позволять клиентам работать друг с другом вообще пропадает связь никто никого не пингует.

 

# comp-lzo

persist-key

persist-tun

ccd-exclusive

 

а в папке ccd

файл client

iroute 192.168.96.0 255.255.240.0 - дублирование пуша из конфига сервера - убрали

fconfig-push 10.10.200.6 255.255.255.0 - присвоение конкретного ип клиенту - убрали

 

И микротик с другой стороны который настроен обычным образом +

На микротике нету ни одного бриджа - каждый порт на cpu.

На нем много вланов на 1 интерфейсе типа транка - там ип адреса вида 192.168.100.1/24, 192.168.101.1.24 и так далее

все они соответственно в сети 192.168.96.0 по маске 255.255.240.0

 

Микротик для своих клиентских машин является шлюзом по умолчанию, шлюзы соответственно 192.168.100.1/24, 192.168.101.1.24 и так далее

При коннекте к серверу микротик получает маршрут на сеть 172.16.0.0/23 типа в интерфейс опенвпн.

 

Результат этих мероприятий таков - с самого микротика я могу достучаться до аббонентов в сети 172.16.0.0/23

С клиентов за микротиком - нет.

С клиентов в сети 172.16.0.0/23 тоже никуда попасть не могу за микротик - пингую только интерфейсы самого микротика.

 

Если включить нат на микротике

1 chain=srcnat action=masquerade src-address=192.168.96.0/20 dst-address=172.16.0.0/23 out-interface=OVPNclient log=no log-prefix=""

то с клиентов за микротиком я попадаю на сервера за freebsd, но это же не дело.

 

Где косяки?

Что не так сделано?

[pingz]

Может я буду не прав.

Когда вы делаете srcnat ваш сервер думает, что это не клиент стучится, а сам микротик

 

У вас прописан прямой маршрут с микротика на сервер и обратный маршрут с сервера на клиентов?

[Rainmib]

[admin@GW] /ip route> print

Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE

0 A S 0.0.0.0/0 gwip 1

1 ADC 10.10.200.1/32 10.10.200.2 OVPNclient 0

2 ADC gwnet/30 defgwip WAN 0

3 ADS 172.16.0.0/23 10.10.200.1 1 - сеть за сервером freebsd получил автоматически после подключения впна.

4 ADC 192.168.100.0/24 192.168.100.1 LAN 0

5 ADC 192.168.106.0/26 192.168.106.1 vlan106 0

 

Сейчас есть клиенты в сети 192.168.100.0 за интерфейсом LAN

 

на freebsd проблема с большей вероятностью.

Там сразу после старта Openvpn сервера появляется маршрут на 192.168.96.0 в 10.10.200.1

[Rainmib]

Неужели идей больше нету. И эта схема у использующих её работает нормально.

Может всё таки дело в ipfw на фрибсд - я к нему доступа не имею :( взаимодействую через местного админа.

proxy-arp на внутреннем интерфейсе микротика ничего не решит?

[pingz]

Пример как должно быть

192.168.0.0/24 сеть на маршрутизаторе А

192.168.1.0/24 сеть на маршрутизаторе Б

 

Между А и Б маршрутизаторам есть сеть 192.168.2.0/24

А = 192.168.2.1

Б = 192.168.2.2

 

На маршрутизаторе А нужно прописать правило маршрутизации, что сеть 192.168.1.0/24 находится за IP адресом 192.168.2.2

На маршрутизаторе Б нужно прописать правило маршрутизации, что сеть 192.168.0.0/24 находится за IP адресом 192.168.2.1

 

Мне кажется у вас не хватает маршута на сервере.

 

При прокси арп выглядит это так

 

 

Между А и Б маршрутизаторам есть сеть 192.168.0.0/24

А = 192.168.0.1

Б = 192.168.0.2

 

На маршрутизаторе Б интерфейс ставим в прокси арп

На другом интерфейсе создаем сеть 192.168.0.3/24 и выдаем абонентам свободные из сети 192.168.0.0/24 со шлюзом 192.168.0.3

Тогда маршрутизатор Б на все запросы от А в сеть 192.168.0.0/24 будет отвечать, что за ним есть клиенты.

 

Как вариант еще поднять OSPF с этим вопросом вам к саббу.

 

 

З.Ы. Возможно я не прав :D

[Rainmib]

на микротике с моей стороны - при коннекте openvpn клиента появляется маршрут в сеть за фрибиздей: Выше его уже привёл

3 ADS 172.16.0.0/23 10.10.200.1 1

 

На фрибизди при старте сервера openvpn появляется маршрут

192.168.96.0/20 10.10.200.1 - или 10.10.200.2 сейчас запрошу ну в общем адрес конца туннеля.

 

При этом с самого микротика компы внутри локалки за фрибиизди доступны.

[pingz]

Трассировку покажи с клиентов.Фаерволы есть? Не мешало бы снять дамп до туннеля и после туннеля. Сам микротика умеет только памяти внутренней мало.

[Rainmib]

Очередной переподключение привело к тому что микротик получил адрес 10.10.200.3 вместо 10.10.200.2

И теперь сам микротик пингует только 10.10.200.3 и всё даже сервер 10.10.200.1 не пингует.

 

Хозяин фриибсд уверят что проблема в микротике так как подключение из дома к серверу с теми же параметрами даёт стабильную работоспособность в обе стороны.

Что то с микротиком не так.

Настроил на нём сервер l2tp+ipsec и думаю что получаю сходную картину но наоборот клиент в сеть за микротиком попадает а с микротика в сеть клиента не попасть.

[Rainmib]

получил 10.10.200.2 ситуация исправилась - пингую с микротика сеть за фрибзи - клиенты за микротиком ходят через нат.

Пинги плохие, задержки большие. Скорость канала слабая :(

Что то с микротиком не так.

[SUrov_IBM]

Скорость канала слабая :(

Что то с микротиком не так.

Rainmib, доброго Вам времени суток.

 

Возможно, в низкой скорости VPN канала, виноват не Mikrotik, а сам OpenVPN.

Попробуйте, что бы на сервере и клиенте (обязательно с обеих сторон) был задан

параметр "socket-flags TCP_NODELAY". В моём случае помогло, скорость в канале

стабилизировалась.

 

 

В конфигурационном файле сервера:

socket-flags TCP_NODELAY

push "socket-flags TCP_NODELAY"

 

Первая строка задаёт значение на самом сервере,

вторая передаёт значение клиенту.

[Rainmib]

Самое расстройство это даже не тупизм канала - при 100мбит линках с обоих сторонах.

А именно невозможность работать без ната со стороны микротика.

даже с самой фрибзд не пингуются клиенты за микротиком вообще никак.

При этом естественно есть маршрут в сеть 192.168.96.0/20 в туннель.

[pingz]

Такой вопрос, а вы с клиентов за микротиком можете достучатся до сервера?

С клиентов за сервером вы можете достучатся до микротика?

Наверное стоит уже конфиг скинуть микротика?

[Rainmib]

Такой вопрос, а вы с клиентов за микротиком можете достучатся до сервера?

С клиентов за сервером вы можете достучатся до микротика?

Наверное стоит уже конфиг скинуть микротика?

 

С клиентов за микротиком до сервера не достучаться - только через нат на микротике.

С клиентов за сервером не достучаться никуда.

Конфиг не поможет.

Схема уже практически не работает отлаживать сейчас не на чем :(