Turris OpenVPN vs. Mikrotik

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.

Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Téma Majitelé routerů / Technická podpora / Turris OpenVPN vs. Mikrotik

Od pflajshans.moje

Dne 2016-02-27 16:50

Zdravím,
pokouším se zprovoznit OpenVPN mezi Turrisem (server) a Mikrotikem (klient).
Z pro mě nepochopitelných důvodů, někde po cestě se mi "rozbíjejí" pakety. Když na Turrisu (po nahození tunelu) dám ping na druhou stranu, tak na straně Turrisu vidím odcházet pakety:

root@turris:~# tcpdump -i tun0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type RAW (Raw IP), capture size 65535 bytes
16:37:25.127843 IP 192.168.8.1 > 192.168.8.6: ICMP echo request, id 19413, seq 0, length 64
16:37:26.127950 IP 192.168.8.1 > 192.168.8.6: ICMP echo request, id 19413, seq 1, length 64
16:37:27.128043 IP 192.168.8.1 > 192.168.8.6: ICMP echo request, id 19413, seq 2, length 64

Na straně Mikrotiku vidím ale toto:

[user@mikrotik] > tool sniffer packet print 
 #    TIME INT... SRC-ADDRESS                                  DST-ADDRESS                                  IP-..  SIZE CPU FP 
 0   0.648 ovp... 181.192.168.8                                1.192.168.8                                  64       85   0 no 
 1   1.648 ovp... 180.192.168.8                                1.192.168.8                                  64       85   0 no 
 2   2.649 ovp... 179.192.168.8                                1.192.168.8                                  64       85   0 no

Absolutně netuším, kde a na jaké vrstvě dochází ke zmršení obsahu paketů, protože ani na jedné straně jsem nenašel žádnou chybovou hlášku.

Než to zavrhnu a zkusím třeba IPSec, dokáže někdo poradit, kde se ještě podívat (logovat), abych zjistil, proč a kde dochází k mršení paketů?

Od Ondřej Caletka (>>>)

Dne 2016-02-28 17:06

Nemáte třeba na obou stranách rozdílně nastavenou kompresi? Volba comp-lzo.

Od pflajshans.moje

Dne 2016-03-01 20:13

Kompresi Mikrotik nepodporuje, takže je vypnutá. Zkoušel jsem vypnout šifrování i podepisování paketů a pořád stejný výsledek. Ale zatím se mi to jeví jako problém Mikrotiku, takže zkusím jejich podporu.
Když totiž dám ping z Turrise na Mikrotik, tak na straně Turrise pakety vidím přes tcpdump v pořádku a na straně Mikrotiku je packet snifferem vidím pomršené. Když dám ping ze strany Mikrotiku, tak na straně Turrise je ticho a na Mikrotiku v packet snifferu je vidím opět s pomršenými adresami, takže se díky špatné dst adrese vůbec nedostanou do tunelu a skončí bůhvíkde.