LINUX.ORG.RU
ФорумAdmin

OpenVPN bridge mode Mikrotik

 , ,


0

1

Добра всем! Что то замучился уже! Нужно сделать tap0(bridge mode) между сервером VDS(CentOS7) и офисом за Mikrotik

Схема такая

VDS(CENTOS 7)+OpenVPN(SERVER bridge mode) <--INTERNET-->Mikrotik(OpenVPN CLIENT bridge mode) <---> 192.168.0.0\24

На CENTOS server.conf

port 1194
proto tcp
#dev tun
dev tap0
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh.pem
#server 10.0.0.0 255.255.255.0
server-bridge 192.168.0.15 255.255.255.0 192.168.0.100 192.168.0.254
client-config-dir /etc/openvpn/clients
client-to-client
route 192.168.0.0 255.255.255.0
keepalive 10 120
tun-mtu 1500
mssfix 1450
cipher AES-256-CBC # AES
auth sha1
user nobody
group nobody
persist-key
persist-tun
status /etc/openvpn/openvpn-status.log
log /etc/openvpn/openvpn.log
verb 3
mute 10

На Mikrotik Inarfece-OVPN Client IP:37.60.180.222 port:1194 Mode:Enthernet

Правило в правилах создано:input,protokol:tcp,dst.port:1194,accept

Врубаю на Mikrotik интерфейс все виснет, пингов нет, хотя на микротике состояние connected и пинги бегают в обе стороны.

tap0 потому что нужно объединить VDS и локалку что бы SIP телефоны были в одной сети,иначе никак..,tun вроде бы как не подходит..

 route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         gw1.yar-tt.ru   0.0.0.0         UG    0      0        0 eth0
37.60.180.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
link-local      0.0.0.0         255.255.0.0     U     1002   0        0 eth0

Ответ на: комментарий от Radjah

Ты о tun схеме? Говорят что SIP пакеты в такой схеме не канают. Для CISCO аппаратов которые не умеют преодолевать NAT это вообще не подходит..

Может я не прав?

skynetyar
() автор топика

Микротик для openvpn, да еще чтобы sip гонять через tap...
Выбрасывай, не подходит. Ибо тут нужен openvpn@udp, а его микротики не умеют.

pekmop1024 ★★★★★
()
Ответ на: комментарий от pekmop1024

Да,на практике таких маневров очень мало описано,вернее совсем не описано, хотя родное у CISCO соединение это TCP но вериться с трудом...

Нет вообще с софтфоном нет проблем , по tun они отлично работают, и NAT не встает все норм, вся проблема в долбаных CISCO которые за NAT не умеют работать....

skynetyar
() автор топика
Ответ на: комментарий от pekmop1024

Что самое прикольное что пинги бегают в обе стороны и все компы видят друг друга и NAT нету , это в tun0 но пля CISCO ну не шлет пакеты на Asterisk и все там!!!

skynetyar
() автор топика
Ответ на: комментарий от skynetyar

tcp, который в кисках, не имеет никакого отношения к tcp, который в openvpn, они находятся на разных уровнях, ибо у тебя конструкция sip@tcp over openvpn@tcp. В данном случае замена openvpn@tcp на openvpn@udp без замены tun на tap ничего не даст. openvpn@udp нужен для другого - чтобы звук не заикался.

pekmop1024 ★★★★★
()
Ответ на: комментарий от pekmop1024

Ок, тоесть тухло дело, мне что tun что tap в связке c mikrotik не прокатит?

Есть еще мысли соединить 2-а Asteriska один на VDS и там будут софтфоны крутиться а другая в локальной сети как сейчас крутиться + CISCO ..

skynetyar
() автор топика
Ответ на: комментарий от skynetyar

Ок, тоесть тухло дело, мне что tun что tap в связке c mikrotik не прокатит?

Не прокатит по производительности. Mikrotik (ввиду ущербности прошивки) умеют только OpenVPN через TCP, а туннелирование через TCP — это идея так себе из-за лавинного эффекта при retransmission (см. сюда: http://sites.inka.de/sites/bigred/devel/tcp-tcp.html). Поэтому OpenVPN, как он реализован в Mikrotik, подходит разве что для того чтобы SSH через него гонять при крайней необходимости. Попробуй другой протокол туннелирования (как советуют выше, ipsec — он в микротиках достаточно просто настраивается).

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 1)
Ответ на: комментарий от intelfx

Спасибо! Не подкините статьей дельной CentOS7-Mikrotik-ipsec ? Честно говоря еще ipsec не касался,видимо время пришло ..

skynetyar
() автор топика
Ответ на: комментарий от Radjah

Проблему с повторами признают и авторы критической статьи. На цифры не смотрел — у меня свои есть. В моём опыте OpenVPN-TCP поверх нестабильного сотового соединения приводит к тому, что админка тика открывается 15 секунд, а эхо вводимых символов по SSH запаздывает на секунду-две. В то же время IPsec по этому же каналу работает вполне сносно.

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 3)
Ответ на: комментарий от intelfx

А статейку не могли бы подкинуть по настройке? Везде описаны схемы типа локальная сеть <---> локальная сеть, у меня же

VDS (centos 7)<--->38.78.78.78 <---INT--->Mikrotik<--->192.168.0.0\24

skynetyar
() автор топика
Ответ на: комментарий от intelfx

Спасибо! Я вот по этой http://www.lushnikov.net/2014/11/19/ipsec-между-linux-и-mikrotik/#strongswan статье настроил, но естественно ничего не забегало..

yum install openswan
Loaded plugins: fastestmirror, versionlock
Loading mirror speeds from cached hostfile
Package libreswan-3.20-3.el7.x86_64 already installed and latest version
И в место openswan ставиться libreswan

О5 же в статье на Linex т.е на сервере VDS указана лольная сеть 192.168.100.1 у меня же ее нет. а есть просто Интернет IP

Вот что выдает на моем VDS route

 route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         gw1.yar-tt.ru   0.0.0.0         UG    0      0        0 eth0
37.60.179.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
link-local      0.0.0.0         255.255.0.0     U     1002   0        0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0

Подскажите что не так?

skynetyar
() автор топика
Ответ на: комментарий от intelfx
000 Total IPsec connections: loaded 3, active 1

Но вот пинги не ходят..

config setup
        interfaces="ipsec0=eth0" # Указываем транспортный интерфейс
        klipsdebug=none
        uniqueids=yes
 
conn %default # Общие параметры для всех подключений
        type=tunnel
        keyingtries=0
        disablearrivalcheck=no
        authby=secret
        esp=3des-sha1
        ike=3des-md5-modp1024
        keylife=8h
        keyexchange=ike
        left=37.60.180.222
        pfs=yes
 
conn mikrotik # Подключение к Mikrotik
        leftsubnet=192.168.1.0/24
        right=188.68.177.88
        rightsubnet=192.168.0.0/24
        auto=start

Что не так ?=(

skynetyar
() автор топика
22 декабря 2017 г.
Ответ на: комментарий от skynetyar

Спасибо! Не подкините статьей дельной CentOS7-Mikrotik-ipsec ? Честно говоря еще ipsec не касался,видимо время пришло ..

Буквально недавно решал этот вопрос, все получилось.. вот моя тема со ссылками и описанием.

При этой схеме sip работает без проблем..

OpenVPN (Маршрутизация)

iv0ld
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.