OpenVPN bridge mode Mikrotik

0

1

Добра всем! Что то замучился уже! Нужно сделать tap0(bridge mode) между сервером VDS(CentOS7) и офисом за Mikrotik

Схема такая

VDS(CENTOS 7)+OpenVPN(SERVER bridge mode) <--INTERNET-->Mikrotik(OpenVPN CLIENT bridge mode) <---> 192.168.0.0\24

На CENTOS server.conf

port 1194
proto tcp
#dev tun
dev tap0
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh.pem
#server 10.0.0.0 255.255.255.0
server-bridge 192.168.0.15 255.255.255.0 192.168.0.100 192.168.0.254
client-config-dir /etc/openvpn/clients
client-to-client
route 192.168.0.0 255.255.255.0
keepalive 10 120
tun-mtu 1500
mssfix 1450
cipher AES-256-CBC # AES
auth sha1
user nobody
group nobody
persist-key
persist-tun
status /etc/openvpn/openvpn-status.log
log /etc/openvpn/openvpn.log
verb 3
mute 10

На Mikrotik Inarfece-OVPN Client IP:37.60.180.222 port:1194 Mode:Enthernet

Правило в правилах создано:input,protokol:tcp,dst.port:1194,accept

Врубаю на Mikrotik интерфейс все виснет, пингов нет, хотя на микротике состояние connected и пинги бегают в обе стороны.

tap0 потому что нужно объединить VDS и локалку что бы SIP телефоны были в одной сети,иначе никак..,tun вроде бы как не подходит..

 route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         gw1.yar-tt.ru   0.0.0.0         UG    0      0        0 eth0
37.60.180.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
link-local      0.0.0.0         255.255.0.0     U     1002   0        0 eth0

Ссылка

←	Как найти письмо по message-id в Zimbra 8.7.0

dns странности на микротике

→

А на фейхуа так? На L3 такое соединение делается на раз через ccd и iroute.

Radjah ★★★★★
(31.10.17 13:59:26 MSK)

Ответ на: комментарий от Radjah 31.10.17 13:59:26 MSK

Ты о tun схеме? Говорят что SIP пакеты в такой схеме не канают. Для CISCO аппаратов которые не умеют преодолевать NAT это вообще не подходит..

Может я не прав?

skynetyar ★
(31.10.17 14:13:21 MSK) автор топика

Ссылка

Микротик для openvpn, да еще чтобы sip гонять через tap...
Выбрасывай, не подходит. Ибо тут нужен openvpn@udp, а его микротики не умеют.

pekmop1024 ★★★★★
(31.10.17 14:21:01 MSK)

Ответ на: комментарий от pekmop1024 31.10.17 14:21:01 MSK

Да,на практике таких маневров очень мало описано,вернее совсем не описано, хотя родное у CISCO соединение это TCP но вериться с трудом...

Нет вообще с софтфоном нет проблем , по tun они отлично работают, и NAT не встает все норм, вся проблема в долбаных CISCO которые за NAT не умеют работать....

skynetyar ★
(31.10.17 14:28:17 MSK) автор топика

Ссылка

Ответ на: комментарий от pekmop1024 31.10.17 14:21:01 MSK

Что самое прикольное что пинги бегают в обе стороны и все компы видят друг друга и NAT нету , это в tun0 но пля CISCO ну не шлет пакеты на Asterisk и все там!!!

skynetyar ★
(31.10.17 14:29:58 MSK) автор топика

Ссылка

Ответ на: комментарий от pekmop1024 31.10.17 14:21:01 MSK

Видимо действительно дело в TCP , но CISCO упорно пишут что TCP им даже предпочтительней..

skynetyar ★
(31.10.17 14:31:00 MSK) автор топика

Ответ на: комментарий от skynetyar 31.10.17 14:31:00 MSK

tcp, который в кисках, не имеет никакого отношения к tcp, который в openvpn, они находятся на разных уровнях, ибо у тебя конструкция sip@tcp over openvpn@tcp. В данном случае замена openvpn@tcp на openvpn@udp без замены tun на tap ничего не даст. openvpn@udp нужен для другого - чтобы звук не заикался.

pekmop1024 ★★★★★
(31.10.17 14:38:35 MSK)

Ответ на: комментарий от pekmop1024 31.10.17 14:38:35 MSK

Ок, тоесть тухло дело, мне что tun что tap в связке c mikrotik не прокатит?

Есть еще мысли соединить 2-а Asteriska один на VDS и там будут софтфоны крутиться а другая в локальной сети как сейчас крутиться + CISCO ..

skynetyar ★
(31.10.17 14:49:57 MSK) автор топика

Ответ на: комментарий от skynetyar 31.10.17 14:49:57 MSK

Попробуй ipsec вместо openvpn

pekmop1024 ★★★★★
(31.10.17 14:54:20 MSK)

Ссылка

Ответ на: комментарий от skynetyar 31.10.17 14:49:57 MSK

Ок, тоесть тухло дело, мне что tun что tap в связке c mikrotik не прокатит?

Не прокатит по производительности. Mikrotik (ввиду ущербности прошивки) умеют только OpenVPN через TCP, а туннелирование через TCP — это идея так себе из-за лавинного эффекта при retransmission (см. сюда: http://sites.inka.de/sites/bigred/devel/tcp-tcp.html). Поэтому OpenVPN, как он реализован в Mikrotik, подходит разве что для того чтобы SSH через него гонять при крайней необходимости. Попробуй другой протокол туннелирования (как советуют выше, ipsec — он в микротиках достаточно просто настраивается).

intelfx ★★★★★
(31.10.17 14:59:44 MSK)
Последнее исправление: intelfx 31.10.17 15:00:17 MSK (всего исправлений: 1)

Ответ на: комментарий от intelfx 31.10.17 14:59:44 MSK

Спасибо! Не подкините статьей дельной CentOS7-Mikrotik-ipsec ? Честно говоря еще ipsec не касался,видимо время пришло ..

skynetyar ★
(31.10.17 15:07:18 MSK) автор топика

Ответ на: комментарий от intelfx 31.10.17 14:59:44 MSK

А как же это? http://samag.ru/archive/article/603

Radjah ★★★★★
(31.10.17 15:10:14 MSK)

Ответ на: комментарий от Radjah 31.10.17 15:10:14 MSK

Проблему с повторами признают и авторы критической статьи. На цифры не смотрел — у меня свои есть. В моём опыте OpenVPN-TCP поверх нестабильного сотового соединения приводит к тому, что админка тика открывается 15 секунд, а эхо вводимых символов по SSH запаздывает на секунду-две. В то же время IPsec по этому же каналу работает вполне сносно.

intelfx ★★★★★
(31.10.17 15:18:13 MSK)
Последнее исправление: intelfx 31.10.17 15:24:47 MSK (всего исправлений: 3)

Ответ на: комментарий от intelfx 31.10.17 15:18:13 MSK

А статейку не могли бы подкинуть по настройке? Везде описаны схемы типа локальная сеть <---> локальная сеть, у меня же

VDS (centos 7)<--->38.78.78.78 <---INT--->Mikrotik<--->192.168.0.0\24

skynetyar ★
(31.10.17 15:31:40 MSK) автор топика

Ответ на: комментарий от skynetyar 31.10.17 15:31:40 MSK

На mikrotik wiki всё можно найти, ЕМНИП.

intelfx ★★★★★
(31.10.17 15:45:30 MSK)

Ответ на: комментарий от intelfx 31.10.17 15:45:30 MSK

Эмм,там явно не в 2-е строки -_- и что то похлеще openvpn ..

skynetyar ★
(31.10.17 15:54:31 MSK) автор топика

Ответ на: комментарий от skynetyar 31.10.17 15:54:31 MSK

Это потому что ты в первый раз его видишь. Ну и он более конструктор, чем ovpn, да.

Ещё на хабре были статьи про линуксовую сторону. Вот, например: https://habrahabr.ru/post/250859/

intelfx ★★★★★
(31.10.17 16:23:51 MSK)

Ответ на: комментарий от intelfx 31.10.17 16:23:51 MSK

Спасибо! Я вот по этой http://www.lushnikov.net/2014/11/19/ipsec-между-linux-и-mikrotik/#strongswan статье настроил, но естественно ничего не забегало..

yum install openswan
Loaded plugins: fastestmirror, versionlock
Loading mirror speeds from cached hostfile
Package libreswan-3.20-3.el7.x86_64 already installed and latest version

И в место openswan ставиться libreswan

О5 же в статье на Linex т.е на сервере VDS указана лольная сеть 192.168.100.1 у меня же ее нет. а есть просто Интернет IP

Вот что выдает на моем VDS route

 route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         gw1.yar-tt.ru   0.0.0.0         UG    0      0        0 eth0
37.60.179.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
link-local      0.0.0.0         255.255.0.0     U     1002   0        0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0

Подскажите что не так?

skynetyar ★
(31.10.17 16:43:56 MSK) автор топика

Ссылка

Ответ на: комментарий от intelfx 31.10.17 16:23:51 MSK

Вот очень похожий случай на мой, подскажите покатит ? https://voxlink.ru/kb/voip-devices-configuration/nastrojka-L2TP-servera-na-Ce...

skynetyar ★
(31.10.17 17:23:51 MSK) автор топика

Ссылка

Ответ на: комментарий от intelfx 31.10.17 16:23:51 MSK

000 Total IPsec connections: loaded 3, active 1

Но вот пинги не ходят..

config setup
        interfaces="ipsec0=eth0" # Указываем транспортный интерфейс
        klipsdebug=none
        uniqueids=yes
 
conn %default # Общие параметры для всех подключений
        type=tunnel
        keyingtries=0
        disablearrivalcheck=no
        authby=secret
        esp=3des-sha1
        ike=3des-md5-modp1024
        keylife=8h
        keyexchange=ike
        left=37.60.180.222
        pfs=yes
 
conn mikrotik # Подключение к Mikrotik
        leftsubnet=192.168.1.0/24
        right=188.68.177.88
        rightsubnet=192.168.0.0/24
        auto=start

Что не так ?=(

skynetyar ★
(01.11.17 11:29:01 MSK) автор топика