11
OpenVPN Routingproblem
Hallo zusammen,
ich versuche mich gerade daran, ein Site-to-Site-VPN zwischen einer pfSense und einem Mikrotik-Router aufzusetzen. Das Setup sieht wie folgt aus:
Server (pfSense):
externe IP: a.a.a.a
internes Netz: 10.0.10.0/24
Tunnel-Netz: 10.0.5.0/24
Clientnetz (Mikrotik):
dynamische IP
internes Netz: 10.0.1.0/24
Auf der pfSense habe ich folgende Einstellungen vorgenommen:
Am Mikrotik sehen die Einstellungen wie folgt aus:
Laut den Logfiles wird die Verbindung auch erfolgreich hergestellt. Leider kann ich immer noch nicht auf das andere Netz zugreifen.
Für das OVPN-Interface ist in der pfSense eine Pass-All-Regel erstellt. Die Firewall-Logs zeigen auch keine geblockten Pakete über dieses Interface.
Auf dem Mikrotik ist ja die Default-Route aktiviert, so dass ja eigentlich alle Anfragen über das VPN gesendet werden müssten. Gibt es bezüglich des Routings hier noch etwas zu beachten?
Habe ich irgendetwas in der Konfiguration vergessen? Kann mir jemand sagen, wo ich mit der Fehlersuche beginnen sollte?
Danke für eure Hilfe!
Gruß!
Berthold
ich versuche mich gerade daran, ein Site-to-Site-VPN zwischen einer pfSense und einem Mikrotik-Router aufzusetzen. Das Setup sieht wie folgt aus:
Server (pfSense):
externe IP: a.a.a.a
internes Netz: 10.0.10.0/24
Tunnel-Netz: 10.0.5.0/24
Clientnetz (Mikrotik):
dynamische IP
internes Netz: 10.0.1.0/24
Auf der pfSense habe ich folgende Einstellungen vorgenommen:
Am Mikrotik sehen die Einstellungen wie folgt aus:
Laut den Logfiles wird die Verbindung auch erfolgreich hergestellt. Leider kann ich immer noch nicht auf das andere Netz zugreifen.
Für das OVPN-Interface ist in der pfSense eine Pass-All-Regel erstellt. Die Firewall-Logs zeigen auch keine geblockten Pakete über dieses Interface.
Auf dem Mikrotik ist ja die Default-Route aktiviert, so dass ja eigentlich alle Anfragen über das VPN gesendet werden müssten. Gibt es bezüglich des Routings hier noch etwas zu beachten?
Habe ich irgendetwas in der Konfiguration vergessen? Kann mir jemand sagen, wo ich mit der Fehlersuche beginnen sollte?
Danke für eure Hilfe!
Gruß!
Berthold
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 242177
Url: https://administrator.de/contentid/242177
Printed on: April 25, 2024 at 21:04 o'clock
11 Comments
Latest comment
Hallo Berthold,
es kann sein dass das OpenVPN bzw. die OpenVPN Verbindung nicht zu Stande kommt
da MikroTik RouterOS damit ein Problem hat bzw. es nicht ganz oder vollständig unterstützt!
OpenVPN in Zusammenhang mit dem UDP Protokoll wird nicht unterstützt von RouterOS.
Gruß
Dobby
es kann sein dass das OpenVPN bzw. die OpenVPN Verbindung nicht zu Stande kommt
da MikroTik RouterOS damit ein Problem hat bzw. es nicht ganz oder vollständig unterstützt!
OpenVPN in Zusammenhang mit dem UDP Protokoll wird nicht unterstützt von RouterOS.
Gruß
Dobby
Hallo Dobby,
deswegen läuft OVPN ja in diesem Fall über TCP... Die Verbindung kommt auch zustande, ich häng gleich gerne mal die Logs an.
Gruß!
Berthold
deswegen läuft OVPN ja in diesem Fall über TCP... Die Verbindung kommt auch zustande, ich häng gleich gerne mal die Logs an.
Gruß!
Berthold
Hallo,
Gruß
Dobby
deswegen läuft OVPN ja in diesem Fall über TCP...
wenn man auf jeder Seite einen MikroTik Router einsetzt wäre das wohl machbar.Die Verbindung kommt auch zustande, ich häng gleich gerne mal die Logs an.
Also für mich brauchst Du das nicht machen, denn das Problem ist bekannt!Gruß
Dobby
Hmkay,
also sollte ich mir die OpenVPN-Geschichte besser sparen? PPTP ist ja nicht mehr so sicher und mit IPSec und L2TP kenne ich mich leider überhaupt nicht aus
Was würdest du mir denn raten, um ein VPN zu erstellen?
Danke und Gruß!
Berthold
Hier trotzdem noch die Logs:
also sollte ich mir die OpenVPN-Geschichte besser sparen? PPTP ist ja nicht mehr so sicher und mit IPSec und L2TP kenne ich mich leider überhaupt nicht aus
Was würdest du mir denn raten, um ein VPN zu erstellen?
Danke und Gruß!
Berthold
Hier trotzdem noch die Logs:
Was würdest du mir denn raten, um ein VPN zu erstellen?
IPSec VPN das beherrschen und unterstützen beide, also pfSenseund auch MikroTik RouterOS.
Gruß
Dobby
So, ich habe mich jetzt mal an IPSec versucht, gemäß dieser Anleitung: http://www.gavioli.net/ipsec-vpn-pfsense-2-1mikrotik-routeros/
Leider wird in meinem Mikrotik bei Remote Peers nichts angezeigt... Hast du noch eine Idee dazu? Oder sollte ich dafür besser einen eigenen Beitrag erstellen?
Leider wird in meinem Mikrotik bei Remote Peers nichts angezeigt... Hast du noch eine Idee dazu? Oder sollte ich dafür besser einen eigenen Beitrag erstellen?
Oder sollte ich dafür besser einen eigenen Beitrag erstellen?
Das nicht, denn das kann man ja hinterher immer noch machen, warte doch erst einmalab ob nicht doch jemand noch einen "Work Around" kennt und Du Glück hast.
Es ist schließlich Sonntag und das Forum dann auch meist nicht so üppig besucht.
Gruß
Dobby
Hi BirdyB,
hast Du denn auf der pfSense auch die Clientspezifischen Daten eingetragen ?
Ohne da einen iroute-Eintrag mit Verweis auf das remote Netz zu machen, nützen Dir Deine ganzen "Klimmzüge" am Mikrotik Router nichts.
Unter "Client Specific Override" Dein remotes Netz eintragen und einen iroute-Eintrag unter "Advanced", so z.B. iroute 10.0.1.0 255.255.255.0;.
Das kreiert Dir eine CCD (Client Config Directory) und dann solltest Du dem Ziel schon näher kommen.
Gruß orcape
Kleiner Nachtrag:
Den MTU-Wert auf dem Mikrotik solltest Du noch auf 1500 ändern, das ist der default-Wert des pfSense-OpenVPN-Servers, dann beschweren sich auch die Logs nicht mehr.
Alles vorausgestzt, Du gibst OpenVPN noch eine Chance...
hast Du denn auf der pfSense auch die Clientspezifischen Daten eingetragen ?
Ohne da einen iroute-Eintrag mit Verweis auf das remote Netz zu machen, nützen Dir Deine ganzen "Klimmzüge" am Mikrotik Router nichts.
Unter "Client Specific Override" Dein remotes Netz eintragen und einen iroute-Eintrag unter "Advanced", so z.B. iroute 10.0.1.0 255.255.255.0;.
Das kreiert Dir eine CCD (Client Config Directory) und dann solltest Du dem Ziel schon näher kommen.
Gruß orcape
Kleiner Nachtrag:
Den MTU-Wert auf dem Mikrotik solltest Du noch auf 1500 ändern, das ist der default-Wert des pfSense-OpenVPN-Servers, dann beschweren sich auch die Logs nicht mehr.
Alles vorausgestzt, Du gibst OpenVPN noch eine Chance...
Hallo orcape,
Der Hinweis mit iroute war die gesuchte Lösung! Vielen Dank!
Gruß!
Berthold
Der Hinweis mit iroute war die gesuchte Lösung! Vielen Dank!
Gruß!
Berthold
Leider habe ich mich an dieser Stelle zu früh gefreut... Über das Webinterface von meinem Mikrotik-Router kann ich jetzt in das andere Netz pingen. Von den Clients hier leider nicht. Traceroute bringt auch nichts zu Tage...
Hat noch jemand eine Idee für mich?
Hat noch jemand eine Idee für mich?
Hi,
push-route Eintrag in der advanced Server Konfiguration der pfSense auf Dein Netz hinter dem Server ist vorhanden und die Firewall ist entsprechend konfiguriert ? (Firewall-Rule)
Hast Du in der Firewall des Mikrotik entsprechende Regeln definiert ?
Gruß orcape
push-route Eintrag in der advanced Server Konfiguration der pfSense auf Dein Netz hinter dem Server ist vorhanden und die Firewall ist entsprechend konfiguriert ? (Firewall-Rule)
Hast Du in der Firewall des Mikrotik entsprechende Regeln definiert ?
Gruß orcape
