phill93
Goto Top

Mikrotik Site2Site OpenVPN mit OPNSense - Gegenseite nicht erreichbar

Hallo,

ich versuche hier gerade ein Site2Site VPN zwischen einer OPNsense und einem Mikrotik aufzubauen und verzweifle mittlerweile daran.
Vom Mikrotik selber erreiche ich das Netz (10.11.2.0/24) hinter der OPNsense aber von Clients die an den Ports 2-5 hängen nicht.

Hier meine Config:

/interface bridge
add name=bridge1 protocol-mode=none
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX distance=indoors frequency=auto \
    installation=indoor mode=ap-bridge ssid=MikroTik-59A6B5 wireless-protocol=802.11
/interface ovpn-client
add certificate=deploy-deploy.crt_0 cipher=aes128 connect-to=xx.xx.xx.xx mac-address=FE:22:4F:93:50:11 name=VPN\
    port=1196 protocol=udp user=deploy
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool2 ranges=10.0.10.10-10.0.10.254
/ip dhcp-server
add address-pool=dhcp_pool2 interface=bridge1 name=dhcp1
/interface bridge port
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether2
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ip address
add address=10.0.10.1/24 interface=bridge1 network=10.0.10.0
/ip dhcp-client
add interface=ether1
/ip dhcp-server network
add address=10.0.10.0/24 gateway=10.0.10.1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=10.0.10.0/24
/ip route
add dst-address=10.11.2.0/24 gateway=10.12.0.1
/ip ssh
set always-allow-password-login=yes
/system clock
set time-zone-name=Europe/Berlin
/system leds
set 5 interface=VPN leds=user-led type=interface-activity

Hat jemand eine Idee was ich falsch mache?

Gruß

Phill93

Content-Key: 1339170832

Url: https://administrator.de/contentid/1339170832

Ausgedruckt am: 28.03.2024 um 09:03 Uhr

Mitglied: aqui
aqui 03.10.2021 aktualisiert um 17:40:35 Uhr
Goto Top
Du solltest besser immer IPsec für sowas nehmen und kein OpenVPN, da OpenVPN in der Performance generell schlechter ist. Guckst du hier.
Beachte zudem das der MT nur TCP als Tunnel Encapsulation supportet !! Macht die VPN Performance durch den erhöhten Header Overhead noch schlechter.

Wie man das auf dem MT einsprechend konfiguriert kannst du hier sehen:
Clientverbindung OpenVPN Mikrotik
OPNsense dürfte analog zur pfSense sein:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Wie bereits gesagt: IPsec wäre die deutlich bessere Wahl !
Mitglied: 149569
Lösung 149569 03.10.2021 aktualisiert um 20:46:46 Uhr
Goto Top
Da ist ein Bug in der OPNSense, bin ich vor kurzem erst drüber gestolpert
https://forum.opnsense.org/index.php?topic=4846.0
, du musst dort in den "Client Specific Overrides" den Mikrotik erneut mit seinem Common Name und dem Remote-Netz eintragen, dann klappt das Routing wieder. Ohne steht zwar die Route zum Remote-Netz in der OPNSense (netstat -rn | more) aber das Routing klappt trotzdem nicht. Erst wenn man den Override Eintrag hinzufügt läuft es wieder.

Beachte das der MT nur TCP als Tunnel Encapsulation supportet !!
Im 7ner Release Candidate nun auch endlich UDP, das verwendet der TO wohl bereits face-wink

Warum er aber nicht gleich Wireguard oder IPSec benutzt bleibt sein Geheimnis face-big-smile.
Mitglied: Phill93
Phill93 03.10.2021 um 18:07:51 Uhr
Goto Top
Hallo,

Zitat von @aqui:

Du solltest besser immer IPsec für sowas nehmen und kein OpenVPN, da OpenVPN in der Performance generell schlechter ist. Guckst du hier.
Beachte zudem das der MT nur TCP als Tunnel Encapsulation supportet !! Macht die VPN Performance durch den erhöhten Header Overhead noch schlechter.

IPSec fällt leider Raus das der Mikrotik nicht an einem Festen Anschluss bleibt sondern Wandert.


Zitat von @149569:

Da ist ein Bug in der OPNSense, bin ich vor kurzem erst drüber gestolpert
https://forum.opnsense.org/index.php?topic=4846.0
, du musst dort in den "Client Specific Overrides" den Mikrotik erneut mit seinem Common Name und dem Remote-Netz eintragen, dann klappt das Routing wieder. Ohne steht zwar die Route zum Remote-Netz in der OPNSense (netstat -rm | more) aber das Routing klappt trotzdem nicht. Erst wenn man den Override Eintrag hinzufügt läuft es wieder.

Danke werde mir das morgen mal ansehen


Zitat von @149569:
Beachte das der MT nur TCP als Tunnel Encapsulation supportet !!
Im 7ner Release Candidate nun auch endlich UDP, das verwendet der TO wohl bereits face-wink

Warum er aber nicht gleich Wireguard oder IPSec benutzt bleibt sein Geheimnis face-big-smile.

Jep auf dem Mikrotik hab ich die 7ner RC drauf, Wireguard hab ich nicht zum laufen gebracht.

Gruß

Phill93
Mitglied: Phill93
Phill93 03.10.2021 um 20:35:23 Uhr
Goto Top
Zitat von @149569:

Da ist ein Bug in der OPNSense, bin ich vor kurzem erst drüber gestolpert
https://forum.opnsense.org/index.php?topic=4846.0
, du musst dort in den "Client Specific Overrides" den Mikrotik erneut mit seinem Common Name und dem Remote-Netz eintragen, dann klappt das Routing wieder. Ohne steht zwar die Route zum Remote-Netz in der OPNSense (netstat -rm | more) aber das Routing klappt trotzdem nicht. Erst wenn man den Override Eintrag hinzufügt läuft es wieder.

Danke, das war die Lösung
Mitglied: 149569
149569 04.10.2021 aktualisiert um 07:28:16 Uhr
Goto Top
Zitat von @Phill93:

Wireguard hab ich nicht zum laufen gebracht.
Da muss man sich aber ziemlich anstrengen um das nicht zu schaffen 🤪, einfacher als mit Wireguard geht's ja nun fast nicht ...
Mitglied: aqui
aqui 04.10.2021 aktualisiert um 08:38:50 Uhr
Goto Top
IPSec fällt leider Raus das der Mikrotik nicht an einem Festen Anschluss bleibt sondern Wandert.
Ja und ??? Das ist doch kein Hinderungsgrund !
Der MT arbeitet dann immer als Initiator und die Firewall als Responder die welchselnde IPs annimmt.
Man arbeitet dann bei der Authentisierung auf der Responder Seite (Firewall) mit Namen (FQDN oder User FQDN). Siehe HIER. Die Peer IP wird dann als 0.0.0.0 eingetragen, so akzeptiert die OPNsense alle eingehenden IPsec Tunnelconnection egal von welcher IP. Der Klassiker um VPNs mit dynmaischen Peer IPs aufzusetzen.
Du hast scheinbar etwas löchrige Kenntnisse was das Thema VPN anbetrifft, kann das sein ??
Wenn das schon an so etwas wirklich Banalem wie Wireguard scheitert....?!
Merkzettel: VPN Installation mit Wireguard
Verwunderlich das du dann OpenVPN Zertifikate erstellen konntest was ja schonmal eine respektable Leistung ist.
Mitglied: 149569
149569 04.10.2021 aktualisiert um 18:36:54 Uhr
Goto Top
Eine Anleitung zum einfachen Abtippen für eine Wireguard Verbindung zwischen OPNSense und Mikrotik findest du übrigens hier
Mikrotik RouterOS 7 - OPNSense : Richtige Wireguard-Config
Damit bringt das dann auch ein Erstklässler zum fliegen, rausreden is also nich face-smile.
Mitglied: Phill93
Phill93 05.10.2021 um 22:31:03 Uhr
Goto Top
Zitat von @aqui:

IPSec fällt leider Raus das der Mikrotik nicht an einem Festen Anschluss bleibt sondern Wandert.
Ja und ??? Das ist doch kein Hinderungsgrund !
Der MT arbeitet dann immer als Initiator und die Firewall als Responder die welchselnde IPs annimmt.
Man arbeitet dann bei der Authentisierung auf der Responder Seite (Firewall) mit Namen (FQDN oder User FQDN). Siehe HIER. Die Peer IP wird dann als 0.0.0.0 eingetragen, so akzeptiert die OPNsense alle eingehenden IPsec Tunnelconnection egal von welcher IP. Der Klassiker um VPNs mit dynmaischen Peer IPs aufzusetzen.
Du hast scheinbar etwas löchrige Kenntnisse was das Thema VPN anbetrifft, kann das sein ??
Wenn das schon an so etwas wirklich Banalem wie Wireguard scheitert....?!
Merkzettel: VPN Installation mit Wireguard
Verwunderlich das du dann OpenVPN Zertifikate erstellen konntest was ja schonmal eine respektable Leistung ist.

Ja mein Wissen was VPN angeht kann man als Löchrig ansehen, OpenVPN hab ich schon öfters gemacht daher ist das kein Problem gewesen. Bei IPSec war ich der Meinung das der Router (Fritzbox, etc.) das zulassen muss. Bei Wireguard hab ich einfach keine Verbindung zwischen den Peers hinbekommen.

Da es sich hier nur um ein Provisorim handelt damit ich unterwegs Rechner in die Domäne bekomme und ich es dringend benötigt habe hab ich OpenVPN genommen.

Ich werde mir die Anleitung mal durchlesen, für das nächste Mal.
Mitglied: aqui
aqui 06.10.2021, aktualisiert am 19.10.2021 um 17:08:16 Uhr
Goto Top
Wireguard zum Fliegen zu bringen ist erheblich einfacher als OpenVPN. In deinem Falle einer Site-to-Site Kopplung wäre aber IPsec die weitaus bessere Wahl gewesen.
Wie man das mit dem modernen IKEv2 zwischen Mikrotik und OPNsense hinbekommt erklärt dir dieses Tutorial:
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
Wenn so oder so eine FritzBox mit im Spiel ist wäre es zudem dann noch völliger Unsinn auf ein separates VPN Protokoll zu wechseln. Die FritzBox selber ist ja ein IPsec VPN Router.

Wie man die Fritzbox mit OPNsense / pfSense und Mikrotik per IPsec verheiratet erklären zig Tutorials hier im Forum:
Fritz!Box VPN Mikrotik als VPN Client
Fritzbox 7590 x opnsense
Aber warum einfach machen wenn es umständlich auch geht ?! 😉