OpenVPN Routingproblem
Hallo zusammen,
ich versuche mich gerade daran, ein Site-to-Site-VPN zwischen einer pfSense und einem Mikrotik-Router aufzusetzen. Das Setup sieht wie folgt aus:
Server (pfSense):
externe IP: a.a.a.a
internes Netz: 10.0.10.0/24
Tunnel-Netz: 10.0.5.0/24
Clientnetz (Mikrotik):
dynamische IP
internes Netz: 10.0.1.0/24
Auf der pfSense habe ich folgende Einstellungen vorgenommen:
Am Mikrotik sehen die Einstellungen wie folgt aus:

Laut den Logfiles wird die Verbindung auch erfolgreich hergestellt. Leider kann ich immer noch nicht auf das andere Netz zugreifen.
Für das OVPN-Interface ist in der pfSense eine Pass-All-Regel erstellt. Die Firewall-Logs zeigen auch keine geblockten Pakete über dieses Interface.
Auf dem Mikrotik ist ja die Default-Route aktiviert, so dass ja eigentlich alle Anfragen über das VPN gesendet werden müssten. Gibt es bezüglich des Routings hier noch etwas zu beachten?
Habe ich irgendetwas in der Konfiguration vergessen? Kann mir jemand sagen, wo ich mit der Fehlersuche beginnen sollte?
Danke für eure Hilfe!
Gruß!
Berthold
ich versuche mich gerade daran, ein Site-to-Site-VPN zwischen einer pfSense und einem Mikrotik-Router aufzusetzen. Das Setup sieht wie folgt aus:
Server (pfSense):
externe IP: a.a.a.a
internes Netz: 10.0.10.0/24
Tunnel-Netz: 10.0.5.0/24
Clientnetz (Mikrotik):
dynamische IP
internes Netz: 10.0.1.0/24
Auf der pfSense habe ich folgende Einstellungen vorgenommen:
Am Mikrotik sehen die Einstellungen wie folgt aus:

Laut den Logfiles wird die Verbindung auch erfolgreich hergestellt. Leider kann ich immer noch nicht auf das andere Netz zugreifen.
Für das OVPN-Interface ist in der pfSense eine Pass-All-Regel erstellt. Die Firewall-Logs zeigen auch keine geblockten Pakete über dieses Interface.
Auf dem Mikrotik ist ja die Default-Route aktiviert, so dass ja eigentlich alle Anfragen über das VPN gesendet werden müssten. Gibt es bezüglich des Routings hier noch etwas zu beachten?
Habe ich irgendetwas in der Konfiguration vergessen? Kann mir jemand sagen, wo ich mit der Fehlersuche beginnen sollte?
Danke für eure Hilfe!
Gruß!
Berthold
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 242177
Url: https://administrator.de/forum/openvpn-routingproblem-242177.html
Ausgedruckt am: 05.04.2025 um 09:04 Uhr
11 Kommentare
Neuester Kommentar

Hallo Berthold,
es kann sein dass das OpenVPN bzw. die OpenVPN Verbindung nicht zu Stande kommt
da MikroTik RouterOS damit ein Problem hat bzw. es nicht ganz oder vollständig unterstützt!
OpenVPN in Zusammenhang mit dem UDP Protokoll wird nicht unterstützt von RouterOS.
Gruß
Dobby
es kann sein dass das OpenVPN bzw. die OpenVPN Verbindung nicht zu Stande kommt
da MikroTik RouterOS damit ein Problem hat bzw. es nicht ganz oder vollständig unterstützt!
OpenVPN in Zusammenhang mit dem UDP Protokoll wird nicht unterstützt von RouterOS.
Gruß
Dobby

Hallo,
Gruß
Dobby
deswegen läuft OVPN ja in diesem Fall über TCP...
wenn man auf jeder Seite einen MikroTik Router einsetzt wäre das wohl machbar.Die Verbindung kommt auch zustande, ich häng gleich gerne mal die Logs an.
Also für mich brauchst Du das nicht machen, denn das Problem ist bekannt!Gruß
Dobby

Was würdest du mir denn raten, um ein VPN zu erstellen?
IPSec VPN das beherrschen und unterstützen beide, also pfSenseund auch MikroTik RouterOS.
Gruß
Dobby

Oder sollte ich dafür besser einen eigenen Beitrag erstellen?
Das nicht, denn das kann man ja hinterher immer noch machen, warte doch erst einmalab ob nicht doch jemand noch einen "Work Around" kennt und Du Glück hast.
Es ist schließlich Sonntag und das Forum dann auch meist nicht so üppig besucht.
Gruß
Dobby
Hi BirdyB,
hast Du denn auf der pfSense auch die Clientspezifischen Daten eingetragen ?
Ohne da einen iroute-Eintrag mit Verweis auf das remote Netz zu machen, nützen Dir Deine ganzen "Klimmzüge" am Mikrotik Router nichts.
Unter "Client Specific Override" Dein remotes Netz eintragen und einen iroute-Eintrag unter "Advanced", so z.B. iroute 10.0.1.0 255.255.255.0;.
Das kreiert Dir eine CCD (Client Config Directory) und dann solltest Du dem Ziel schon näher kommen.
Gruß orcape
Kleiner Nachtrag:
Den MTU-Wert auf dem Mikrotik solltest Du noch auf 1500 ändern, das ist der default-Wert des pfSense-OpenVPN-Servers, dann beschweren sich auch die Logs nicht mehr.
Alles vorausgestzt, Du gibst OpenVPN noch eine Chance...
hast Du denn auf der pfSense auch die Clientspezifischen Daten eingetragen ?
Ohne da einen iroute-Eintrag mit Verweis auf das remote Netz zu machen, nützen Dir Deine ganzen "Klimmzüge" am Mikrotik Router nichts.
Unter "Client Specific Override" Dein remotes Netz eintragen und einen iroute-Eintrag unter "Advanced", so z.B. iroute 10.0.1.0 255.255.255.0;.
Das kreiert Dir eine CCD (Client Config Directory) und dann solltest Du dem Ziel schon näher kommen.
Gruß orcape
Kleiner Nachtrag:
Den MTU-Wert auf dem Mikrotik solltest Du noch auf 1500 ändern, das ist der default-Wert des pfSense-OpenVPN-Servers, dann beschweren sich auch die Logs nicht mehr.
Alles vorausgestzt, Du gibst OpenVPN noch eine Chance...