OVPN на Pfsense + Mikrotik

proxy-arp ну и firewall проверь

Что я забыл?

Может маршрут прописать? На микротике, за каким интерфейсом OVPN спрятана удаленная сетка.

Ну и tcpdump тебе поможет, разобраться где затык

Маршрут микротик автоматом поднимает, когда соединяется по овпн. Тесты показали, что до pfsense пакеты таки доходят. В pfsense-status-ovpn строка Bytes Received растет как только начинаю пинговать с удаленных машин за микротиком. А вот Bytes Sent не изменяется от внешних пингов.

TCPdump-ом пакеты со стороны пф-сенс поймать вообще не удалось. Ловил, пингуя внешний адрес впн-тоннеля пф-сенса. Может, не на том интерфейсе ловлю? ovpns2 пробовал при пинге с машин, которые за микротиком - тишина. Если пинговать с микротика - пакеты видны.

Засада какая-то. Дальше, что интересно - пфсенс в веб-интерфейсе показывает свою таблицу роутинга. Там у него овпн тоннелю посвящены четыре строчки. Которые осилить мне не удается.

192.168.21.0/24 192.168.21.2 UGS 0 86 1500 ovpns2

192.168.21.1 link#13 UHS 0 0 16384 lo0

192.168.21.2 link#13 UH 0 0 1500 ovpns2

192.168.88.0/24 192.168.21.2 UGS 0 0 1500 ovpns2

192,168,88,0 - локальная сетка микротика.
192.168.21.0/24 - это тоннельная сетка.
192.168.21.1 - это тоннельный адрес пфсенса.
А вот 192.168.21.2 - это неизвестно что.
Тоннельный адрес микротика 192.168.21.6! Назначает его пфсенс при коннекте. И есть у меня подозрения что на его (двойки) месте в таблице должна быть шестерка. Тогда пакеты в 192,168,21,0 и пойдут логично на 192,168,21,6 - микротик. Аналогично в 192,168,88,0/24 - через 192,168,21,6 должно идти, а не одному пфсенсу ведомый какой-то 192,168,21,2.

Назначает роуты пф-сенс автоматически при поднимании канала. Он же и адрес микротику выдает. (Шестой!) Не в этом ли весь косяк?

Маршрут микротик автоматом поднимает,

ну может поднимает но не тот, ведь в конфиге OVPN сам задаешь маршрут. Проверяй. Погружаться в чужие ip нет желания.

В pfsense-status-ovpn строка Bytes Received

ой как то у тебя сложно... или я тупой. Я смотрю как ходят пакеты так:

tcpdump -n -i tun3|grep 172.16.15.71

зная с какого IP (172.16.15.71)какой пингую (172.16.1.100) фильтрую grep и явно вижу ответ - значит на этом интерфейсе все ОК, едем дальше, смотрим другой интерфейс.

пример

08:52:42.858606 IP 172.16.15.71 > 172.16.1.100: ICMP echo request, id 1, seq 6,                                                                              length 40
08:52:42.858676 IP 172.16.1.100 > 172.16.15.71: ICMP echo reply, id 1, seq 6, le                                                                             ngth 40

И есть у меня подозрения что на его (двойки) месте в таблице должна быть шестерка. Тогда пакеты в 192,168,21,0 и пойдут логично на 192,168,21,6 - микротик.

Именно, с одной стороны у тебя что то неправильно.

Вот глянул у себя route кажет со стороны офиса:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
172.16.15.0     10.1.15.1       255.255.255.0   UG    0      0        0 tun3

Соответсвенно tun3 это интерфейс тут, локально, а вот 10.1.15.1 это ip на другой стороне за туннелем.

ifconfig tun3
tun3  inet addr:10.1.15.2  P-t-P:10.1.15.1  Mask:255.255.255.255

Ну и аналогично с другой стороны. Вообще перепроверяй все внимательно, ты в шаге от успеха. Ну я еще обычно опускаю фаервол, ненадолго, чтоб исключить его влияние, но обычно в iptables у меня для интерфейсов tun+ везде зеленый свет. не для того поднимал vpn чтоб, фильтровать

Назначает роуты пф-сенс автоматически при поднимании канала. Он же и адрес микротику выдает. (Шестой!) Не в этом ли весь косяк?

100 пудов собака тут порылась!

Сдался в общем. Настроил банально на двух микротиках без проблем.