(~РЕШЕНО) openVPN S2S. Не проходят пакеты с интерфейса VPN в локальную сеть

Обсуждение ПО и его настройки
Ответить
Tarion
Сообщения: 16
Зарегистрирован: 23 янв 2020, 16:59

Всем доброго дня!
Не могу найти причину непонятного поведения микротика.
Настраиваю RB4011iGS аппарат.
RouterOS 7.16.1
схема сети:
Изображение

один из этапов, это установка S2S openvpn соединения офиса с ЦОД, где стоит pfsens в качестве опенВПН сервера.
В результате настройки -- все соединяется, канал устанавливается успешно, но пинги идут только в одну сторону - от микротика в pfsense. При пингах СО стороны пфсенса:
* я могу успешно пинговать свой адрес ВПН канала (10.12.0.1) и адрес впн канала микротика(10.12.0.2), если поставлю соответствующее правило разрешающее пинг пинг этого интерфейса.
* На пфсенсе прописан в маршрутах путь до локальной сети офиса (192.168.11.0/24) за микротиком и при запуске tcpdump из интерфейса pfsense видно что пакеты действительно идут по крайней мере на ВПН интерфейс канала (вероятно чтобы дальше уйти там на интерфейс локальной сети за микротиком).
* tcpdump на интерфейсе ovpn на стороне pfsense видит пакеты-запросы и не видит пакетов ответов. сниффер пакетов микротика - не видит приходящих пакетов на своем интерфесе ВПН соединения (а при успешных пингах в обратную сторону - видит).
Настройка pfsensa подозрений не вызывает, так как там аналогичным образом настроен еще один подобный туннель. и он работает корректно.
Повторюсь что сам туннель устанавливается, и в сторону ЦОДа пакеты бегут замечательно.

Просьба знающим коллегам указать путь в котором следует копать для решения задачи.
Конфиг микротика:

Код: Выделить всё

# 2024-10-21 03:23:55 by RouterOS 7.16.1
# software id = UBCS-3KGA
#
# model = RB4011iGS+5HacQ2HnD
# serial number = HG309G5KTWB
/interface bridge
add name=bridge-LAN
add name=bridge-Wifi_GUEST
/interface ethernet
set [ find default-name=ether5 ] name="LAN-Bridge-port (ether5)"
set [ find default-name=ether1 ] name="provider (ether1)"
set [ find default-name=ether2 ] disabled=yes
set [ find default-name=ether3 ] disabled=yes
set [ find default-name=ether4 ] disabled=yes
set [ find default-name=ether10 ] poe-out=off
set [ find default-name=sfp-sfpplus1 ] disabled=yes
/interface ovpn-server
add name=ovpn-vpnuser user=vpnuser
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk mode=dynamic-keys name=WiFi_Work_Profile \
    supplicant-identity=""
add authentication-types=wpa2-psk mode=dynamic-keys name=WiFi_Guest_profile \
    supplicant-identity=""
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \
    country=russia distance=indoors mode=ap-bridge noise-floor-threshold=-110 \
    security-profile=WiFi_Work_Profile ssid=wifi24
set [ find default-name=wlan2 ] adaptive-noise-immunity=ap-and-client-mode \
    band=5ghz-a/n/ac country=russia distance=indoors guard-interval=long \
    mode=ap-bridge security-profile=WiFi_Work_Profile ssid=wifi5 wps-mode=\
    disabled
add keepalive-frames=disabled mac-address=7A:9A:18:B7:FE:27 master-interface=\
    wlan1 multicast-buffering=disabled name="wifi24g (wlan3)" \
    security-profile=WiFi_Guest_profile ssid=wifi24g wds-cost-range=1 \
    wds-default-cost=1 wmm-support=enabled wps-mode=disabled
/ip ipsec peer
add address=45.9.89.147/32 disabled=yes exchange-mode=ike2 name=\
    Office-COD
/ip ipsec profile
set [ find default=yes ] dpd-interval=2m dpd-maximum-failures=5
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256 enc-algorithms=\
    chacha20poly1305,aes-256-cbc,aes-256-gcm
/ip pool
add name="LAN pool" ranges=192.168.11.100-192.168.11.200
add name="Wifi Guest Pool" ranges=10.101.0.2-10.101.0.50
add name="ovpn pool" ranges=10.100.0.10-10.100.0.100
/ip dhcp-server
add address-pool="LAN pool" disabled=yes interface=bridge-LAN lease-time=3d \
    name="DHCP LAN"
add address-pool="Wifi Guest Pool" authoritative=after-2sec-delay disabled=\
    yes interface=bridge-Wifi_GUEST lease-time=2h name="DHCP Wifi Guest"
/port
set 0 name=serial0
set 1 name=serial1
/ppp profile
add local-address=10.100.0.1 name=ovpn remote-address="ovpn pool"
add change-tcp-mss=yes local-address=10.12.0.2 name="S2S COD" \
    remote-address=10.12.0.1 use-ipv6=no
/interface ovpn-client
add auth=sha256 certificate=vpnMikrotik cipher=aes256-cbc connect-to=\
    45.9.89.147 mac-address=FE:C8:88:84:00:13 max-mtu=1400 name=\
    "ovpn S2S COD" port=1196 profile="S2S COD" user=vpnMikrotik
/interface bridge port
add bridge=bridge-LAN interface="LAN-Bridge-port (ether5)"
add bridge=bridge-LAN interface=ether6
add bridge=bridge-LAN interface=ether7
add bridge=bridge-LAN interface=ether8
add bridge=bridge-LAN interface=ether9
add bridge=bridge-LAN interface=ether10
add bridge=bridge-LAN interface=wlan2
add bridge=bridge-LAN interface=wlan1
add bridge=bridge-Wifi_GUEST ingress-filtering=no interface=\
    "wifi24g (wlan3)" internal-path-cost=10 path-cost=10
/ip firewall connection tracking
set udp-timeout=10s
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface ovpn-server server
set auth=sha256,sha512 certificate=ovpn-server cipher=aes256-cbc \
    default-profile=ovpn enabled=yes port=1200 push-routes=\
    "192.168.11.0 255.255.255.0 10.100.0.1" require-client-certificate=yes
/ip address
add address=192.168.11.254/24 interface=bridge-LAN network=192.168.11.0
add address=62.148.19.44/29 interface="provider (ether1)" network=\
    62.148.19.40
add address=10.101.0.1/24 interface=bridge-Wifi_GUEST network=10.101.0.0
add address=10.101.0.0/24 dns-server=10.101.0.1 gateway=10.101.0.1 netmask=24
add address=192.168.11.0/24 comment="Local Network" dns-server=192.168.11.254 \
    gateway=192.168.11.254 netmask=24
/ip dns
set allow-remote-requests=yes servers=77.88.8.8,1.1.1.1,8.8.8.8
/ip firewall filter
add action=add-src-to-address-list address-list=knock-knock \
    address-list-timeout=30s chain=input packet-size=100 protocol=icmp
add action=add-src-to-address-list address-list=knock-accept \
    address-list-timeout=1m chain=input packet-size=102 protocol=icmp \
    src-address-list=knock-knock
add action=accept chain=input in-interface="ovpn S2S COD" protocol=icmp
add action=accept chain=input comment=established,related connection-state=\
    established,related
add action=drop chain=input comment=ivalid connection-state=invalid
add action=accept chain=input comment="Open VPN Server" dst-port=1200 \
    in-interface="provider (ether1)" protocol=tcp
add action=accept chain=input dst-port=22 in-interface=bridge-LAN protocol=\
    tcp
add action=accept chain=input comment="winbox for openvpn" dst-port=8291 \
    in-interface=ovpn-vpnuser protocol=tcp
add action=accept chain=input comment="winbox for LAN" dst-port=8291 \
    in-interface=bridge-LAN protocol=tcp
add action=accept chain=input comment="winbox for knocking" dst-port=8291 \
    protocol=tcp src-address-list=knock-accept
add action=accept chain=input dst-port=53 in-interface=bridge-LAN protocol=\
    udp
add action=accept chain=input in-interface=bridge-LAN protocol=icmp
add action=drop chain=input comment="drop all"
add action=accept chain=forward dst-address=192.168.11.0/24 in-interface=\
    "ovpn S2S COD"
add action=accept chain=forward comment=established,related connection-state=\
    established,related
add action=drop chain=forward comment=invalid connection-state=invalid
add action=accept chain=forward protocol=icmp
add action=drop chain=forward dst-address=10.101.0.0/24 src-address=\
    172.16.172.0/24
add action=drop chain=forward dst-address=172.16.172.0/24 src-address=\
    10.101.0.0/24
add action=drop chain=forward comment="drop new non dstnat" \
    connection-nat-state=!dstnat connection-state=new in-interface=\
    "provider (ether1)"
/ip firewall nat
add action=src-nat chain=srcnat out-interface="provider (ether1)" \
    to-addresses=62.148.19.44
add action=src-nat chain=srcnat out-interface="ovpn S2S COD" \
    to-addresses=10.12.0.2
add action=masquerade chain=srcnat disabled=yes
/ip ipsec identity
add auth-method=digital-signature certificate=vpnMikrotik disabled=yes peer=\
    Office-COD remote-certificate=euro-server
/ip route
add disabled=no dst-address=0.0.0.0/0 gateway=62.148.19.41 routing-table=main \
    suppress-hw-offload=no
add disabled=no dst-address=10.100.0.0/24 gateway=192.168.11.3 routing-table=\
    main suppress-hw-offload=no
add disabled=yes distance=1 dst-address=10.19.0.0/24 gateway=10.19.0.1 \
    routing-table=main scope=30 suppress-hw-offload=no target-scope=10
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ppp secret
add name=vpnuser profile=ovpn service=ovpn
/system clock
set time-zone-name=Europe/Moscow
/system leds
add interface=wlan1 leds="wlan2_signal1-led,wlan2_signal2-led,wlan2_signal3-le\
    d,wlan2_signal4-led,wlan2_signal5-led" type=wireless-signal-strength
add interface=wlan1 leds=wlan2_tx-led type=interface-transmit
add interface=wlan1 leds=wlan2_rx-led type=interface-receive
/system note
set show-at-login=no
/system ntp client
set enabled=yes
/system ntp client servers
add address=0.ru.pool.ntp.org
add address=1.ru.pool.ntp.org
add address=2.ru.pool.ntp.org
/system routerboard settings
set enter-setup-on=delete-key
/tool sniffer
set filter-interface="ovpn S2S COD" filter-ip-protocol=icmp
Последний раз редактировалось Tarion 31 окт 2024, 03:52, всего редактировалось 1 раз.


svetogor82
Сообщения: 193
Зарегистрирован: 17 апр 2014, 10:44

не увидел у вас маршрута на микротике в цодовскую сеть


Tarion
Сообщения: 16
Зарегистрирован: 23 янв 2020, 16:59

svetogor82 писал(а): 23 окт 2024, 11:36 не увидел у вас маршрута на микротике в цодовскую сеть
Да, мой недосмотр, надо было сделать скриншот с ГУИ микротика либо экспорт на момент установления канала.
при установлении канала микротик получает с сервера маршруты до сети в ЦОД.
Вообще, как я написал в сообщении пакеты очень хорошо работают в направлении ОТ офиса ДО ЦОДа.


svetogor82
Сообщения: 193
Зарегистрирован: 17 апр 2014, 10:44

у вас forward 172.16.172.0 не разрешен
по пробуйте отключить для тестов firewall и проверьте


Tarion
Сообщения: 16
Зарегистрирован: 23 янв 2020, 16:59

svetogor82 писал(а): 24 окт 2024, 17:59 у вас forward 172.16.172.0 не разрешен
по пробуйте отключить для тестов firewall и проверьте
Снова добрый день!
Извините что долго не отвечал. для тестов приходится выгадывать время.

Отключил все запрещающие правила на фаерволе. Проверил. нет результата
добавил в самом начале разрешающее правило форварда. На всякий случай. Все равно нет.

Вопрос к вам как к человеку с богатым опытом. Может ли быть такое что конфигурация микротика каким-то образом поломана? то есть бывает ли с ними такое что после полного сброса и перезаливки бэкапа некоторые проблемы уходят?

В Интернете нашел примеры моей конфигурации с ВПНом S2S и там не выполняется каких-то таинственных действий. Работает буквально после поднятия туннеля.
Создали туннель, создали маршруты, nat src и все.


svetogor82
Сообщения: 193
Зарегистрирован: 17 апр 2014, 10:44

ovpn у микротика капризный я бы по пробовал для тестов соединить к примеру их через wireguard или через gre с ipsec


Tarion
Сообщения: 16
Зарегистрирован: 23 янв 2020, 16:59

svetogor82 писал(а): 30 окт 2024, 08:44 ovpn у микротика капризный я бы по пробовал для тестов соединить к примеру их через wireguard или через gre с ipsec
да, пришел к такому же решению. через ipsec+ikev2 все заработало.
Думаю что буду с выходом каждой прошивки пробовать изменилось ли что, и в случае успеха будет второй преднастроенный вариант подключения.
Спасибо вам за ответы!


Ответить