Jump to content
  • 0

Рутиране при VPN между на две мрежи с pfSense


mpadmin

Въпрос

Нов съм в MikroTik, но реших да го ползвам за отдалечени места и малки офиси, като ще държи site-to-site VPN връзка. По много причини не искам IPsec и ще ползвам OpenVPN. Основните ми рутери са pfSense, успях да се преборя да пусна Peer to Peer (SLS/TLS), pfSense е сървър, MikroTik е клиент, тунела работи и от терминала на MikroTik имам ping към две машини от другата страна на тунела.

Не мога обаче да дам достъп на машините зад MikroTik. Опитах да потърся примери, изкачат предимно индийци с неясни слайдове. Ето какво съм направил до момента:

1. Мрежите са следните (с условни публични адреси):

192.168.151.0/24 -> (pfSense 1.1.1.1) -> Internet <- 2.2.2.2 <- 192.168.14.0/24

2. На pfSense е настроен OpenVPN сървър с необходимите сертификати, ползва се IPv4 Tunnel Network 10.30.30.0/29. При вдигането на тунела MikroTik получава 10.30.30.2, от Terminal имам ping към 192.168.151.7 и всичко е наред. От машина зад MikroTik обаче нямам ping към нито един адрес от мрежа 192.168.151.0/24.

Играх си с NAT правила, но единственото, което работи е да пусна srcnat през ovpn-tunnel с адресите на мрежите и masquerade. На мен обаче ми трябва само чисто рутиране между двете мрежи, а не да се крият зад рутера. Предполагам, че пропускам нещо много съществено и ще се радвам някой да ми помогне.

Адрес на коментара
Сподели в други сайтове

Recommended Posts

  • 0
  • Администратор
Преди 2 часа, mpadmin написа:

Имаш ли ръководство за site-to-site между pfSense и MikroTik с SSTP?

Творческо мислене не ръководство трябва 

но пък може да питаш ТУК

http://wiki.mikrotik.com/wiki/Manual:Interface/SSTP

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0
преди 24 минути, 111111 написа:

Творческо мислене не ръководство трябва 

но пък може да питаш ТУК

http://wiki.mikrotik.com/wiki/Manual:Interface/SSTP

Благодаря за линка, но pfSense не поддържа SSTP. Всичките ми основни рутери са на pfSense и затова търсех (и намерих) решение с OpenVPN.

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Ползвай L2TP

  • Харесай 1
Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
преди 30 минути, 111111 написа:

Ползвай L2TP

Комбиниран с IPSEC пример, ако се налага !

  • Харесай 1
Адрес на коментара
Сподели в други сайтове

  • 0
Преди 3 часа, JohnTRIVOLTA написа:

Комбиниран с IPSEC пример, ако се налага !

Със сигурност е много по-добро решение от OpenVPN (особено с липсата на UDP) , но не е достатъчно гъвкаво за моите цели. Имам нужда рутерите винаги да се свързват, независимо дали са адресът им е статичен, динамичен или са през 3G рутер. Но много се отклоняваме от темата - аз търсех решение конкретно за pfSense - MikroTik с OpenVPN и site-to-site и го направих. За мен конкретната тема приключи, кой е по-добър начин за свързване и с какво е съвсем друга безкрайна тема :)

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
Преди 2 часа, mpadmin написа:

Със сигурност е много по-добро решение от OpenVPN (особено с липсата на UDP) , но не е достатъчно гъвкаво за моите цели. Имам нужда рутерите винаги да се свързват, независимо дали са адресът им е статичен, динамичен или са през 3G рутер. Но много се отклоняваме от темата - аз търсех решение конкретно за pfSense - MikroTik с OpenVPN и site-to-site и го направих. За мен конкретната тема приключи, кой е по-добър начин за свързване и с какво е съвсем друга безкрайна тема :)

А бе чак безкрайна то си до какво искаш да постигнеш с това което разполагаш , та мисля, че L2TP е достатъчно гъвкав ;)

Адрес на коментара
Сподели в други сайтове

  • 0

Открих грешка в решението ми - добавя се напълно излишен път (не пречи на връзката, но и не му е там мястото). Трябва реда:

Advanced: push "route 192.168.151.0 255.255.255.0";iroute 192.168.14.0 255.255.255.0

Да се замени с:

Advanced: iroute 192.168.14.0 255.255.255.0

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.