OVPN тунель для телефонии. HELP!

Обсуждение ПО и его настройки
Ответить
Oleksandr
Сообщения: 4
Зарегистрирован: 23 окт 2019, 10:29

Всем привет. Задача следующая. Нужна телефония на удаленном складе(сеть 2.0/24), для этого нужно к офисному серверу(сеть 0.0/24) пробросить ВПН. В офисе как гейтвей у нас PFsense(0.100), за ним уже Микторик(0.220) на котором я настроил ВПН сервер. ВПН клиент на складе на главном Микроте(белийIP) конектится к PFsense, где пробрасываю порт на Микрот ВПНсервер. Тунель поднялся, из сети склада пингуется 0.220, а вот сеть за ним не пингуется. так же из сети офисной не пингуется ВПН тунель. Не могу понять где проблема. Помогите ПЛЗ, куда смотреть.!!?


Oleksandr
Сообщения: 4
Зарегистрирован: 23 окт 2019, 10:29

ARP proxy arp сервера включил, не помогло. Вроде все роуты прописаны.


kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

конфигурацию firewall на микротике покажите


Oleksandr
Сообщения: 4
Зарегистрирован: 23 окт 2019, 10:29

firewall настроен только на Микроте ВПНклиента та ВПНсервере никаких правил нет


/ip firewall filter
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=forward comment="defconf: accept established,related" connection-state=\
established,related
add action=accept chain=forward comment="accept rout to office" out-interface=ovpn-out1CLIENT \
protocol=tcp
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=\
established,related
add action=accept chain=input comment="defconf: accept established,related" connection-state=\
established,related
add action=accept chain=input comment="accept to Winbox" dst-port=8291 protocol=tcp src-address=\
1.1.1.50 (адрес офиса)
add action=drop chain=input comment="defconf: drop all from WAN"
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface=ether1


/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=ether1
add action=netmap chain=dstnat dst-port=8001 in-interface=ether1 protocol=tcp to-addresses=\
192.168.2.65 to-ports=8001
add action=accept chain=dstnat dst-port=8291 log=yes log-prefix=winbox protocol=tcp
add action=dst-nat chain=dstnat dst-port=8081 in-interface=ether1 protocol=tcp to-addresses=\
192.168.2.65 to-ports=8081
add action=dst-nat chain=dstnat dst-port=8000 in-interface=ether1 protocol=tcp to-addresses=\
192.168.2.64 to-ports=8000
add action=dst-nat chain=dstnat dst-port=8082 in-interface=ether1 protocol=tcp to-addresses=\
192.168.2.64 to-ports=8082
add action=dst-nat chain=dstnat dst-port=39393 in-interface=ether1 protocol=tcp to-addresses=\
192.168.2.10 to-ports=3389
add action=dst-nat chain=dstnat dst-port=8003 in-interface=ether1 protocol=tcp to-addresses=\
192.168.2.63 to-ports=8003
add action=dst-nat chain=dstnat dst-port=8083 in-interface=ether1 protocol=tcp to-addresses=\
192.168.2.63 to-ports=8083
add action=dst-nat chain=dstnat dst-port=8005 in-interface=ether1 protocol=tcp to-addresses=\
192.168.2.20 to-ports=8000


kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

на PFSense маршрут на подсеть 192.168.2.0/24 через 192.168.0.220 прописан?


kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

Если маршрут прописали, то скорей всего не работает из-за асимметричного роутинга.
Есть два пути правильный и неправильный. Правильный - необходимо избавится от асимметрии. Можно терминировать туннель на PFSense, или оставить терминирование туннеля на микротике но вынести его в отдельный сегмент сети. И второй путь неправильный, сказать PFSense чтобы он не использовал statefull инспекцию трафика.

Код: Выделить всё

Click System > Advanced
Click the Firewall/NAT tab
Check Bypass firewall rules for traffic on the same interface
Click Save
https://docs.netgate.com/pfsense/en/lat ... outes.html


Oleksandr
Сообщения: 4
Зарегистрирован: 23 окт 2019, 10:29

Решил проблему перенеся ВПН сервер на PFsens. С горем пополам удалось всё настроить. Все ок.
Правда в дальнейшем есть в планах отказатся от PFsensa и обходится только Микротами. Вот тогда снова возьмусь за эту проблему))
Ну а пока спасибо)


Ответить