Нет интернета через ovpn client

[KaNelam]

3 - маркируем connection и routing через address list

оптимизмруем)

Код: Выделить всё

/ip firewall mangle
add action=route chain=prerouting comment="home lan" dst-address-list=RKN passthrough=no route-dst=172.17.1.6 src-address=192.168.25.32/27

[-13-]

3 - маркируем connection и routing через address list

оптимизмруем)

Код: Выделить всё

/ip firewall mangle
add action=route chain=prerouting comment="home lan" dst-address-list=RKN passthrough=no route-dst=172.17.1.6 src-address=192.168.25.32/27

route-dst=172.17.1.6 - это куда роут?

[podarok66]

Ага, и маршрутизация выйдет не для части сайтов, а для всего интернета)) Ну вы тут насоветовали))) Да не путайте вы человека. Пусть он скажет сначала, откуда там столько маршрутов прилетает через гетвэй 10.8.0.45 Есть смутное сомнение в правильности настроек всего и вся. Пусть уж он начинает с самого начала.
* Сервер OpenVPN где, на чём и есть ли доступ?
* Схема сети
* Задачи, выставляемые для туннельного подключения и кто будет пользоваться ( все, админ, группа товарищей)?
Я активно использую OpenVPN в домашних условиях, поэтому довольно хорошо представляю, что там делать при определенном раскладе. А то утащили в Wireguard обсуждение. Ну не может одно и другое быть одинаковым. Ему бы понять то, что настроить пытается, а вы ему своё втюхать пытаетесь. Как торгаши на рынке, право слово...

[Retrograd]

Ага, и маршрутизация выйдет не для части сайтов, а для всего интернета)) Ну вы тут насоветовали))) Да не путайте вы человека. Пусть он скажет сначала, откуда там столько маршрутов прилетает через гетвэй 10.8.0.45 Есть смутное сомнение в правильности настроек всего и вся. Пусть уж он начинает с самого начала.
* Сервер OpenVPN где, на чём и есть ли доступ?
* Схема сети
* Задачи, выставляемые для туннельного подключения и кто будет пользоваться ( все, админ, группа товарищей)?
Я активно использую OpenVPN в домашних условиях, поэтому довольно хорошо представляю, что там делать при определенном раскладе. А то утащили в Wireguard обсуждение. Ну не может одно и другое быть одинаковым. Ему бы понять то, что настроить пытается, а вы ему своё втюхать пытаетесь. Как торгаши на рынке, право слово...

Сервер не мой, знакомого. Сам ковыряться и искать проблему на сервере он не будет, но что то конкретное посмотрит, если "носом ткнуть". У меня туда доступа нет. Расположен в Нидерландах, поднят на линуксовой машине.
У меня дома несколько устройств и микротик на входе. Нужен внп для работы с некоторыми сайтами, которые ограничивают мне доступ по гео.
Но, давайте начнем с базового, без всякого маркирования и т.д.
По шагам:
1. Сбрасываю роутер на заводские настройки
2. Оставляю дефолтный конфиг, который он мне предлагает.
3. Импортирую пользовательский серт с ключом
4. Настраиваю opvn client, ставлю галку Add default route
5. Успешно подключаюсь к настроенному vpn, получая в логах ошибку "unsupported redirect-gateway flag 'bypass-dhcp'"
6. Интернета нет. С роутера пинг на 8.8.8.8 не проходит.
7. Настраиваю маскарадинг на исходящий интерфейс vpn подключения
8. Интернета нет. С роутера пинг на 8.8.8.8 не проходит.

Насколько я понимаю, при такой настройке весь трафик должен идти через vpn. Если смотреть на сам интерфейс во время попытки что то пингануть/открыть, то видно что туда есть исходящий трафик и изредка проскакивает немного входящего.

[KaNelam]

3 - маркируем connection и routing через address list

оптимизмруем)

Код: Выделить всё

/ip firewall mangle
add action=route chain=prerouting comment="home lan" dst-address-list=RKN passthrough=no route-dst=172.17.1.6 src-address=192.168.25.32/27

route-dst=172.17.1.6 - это куда роут?

на CHR за бугром (L2TP)

[-13-]

оптимизмруем)

Код: Выделить всё

/ip firewall mangle
add action=route chain=prerouting comment="home lan" dst-address-list=RKN passthrough=no route-dst=172.17.1.6 src-address=192.168.25.32/27

route-dst=172.17.1.6 - это куда роут?

на CHR за бугром (L2TP)

а если неизвестен IP на том конце? или его сменят?
проще уж через роутинг с маркировками (ну мне по крайней мере)

[KaNelam]

route-dst=172.17.1.6 - это куда роут?

на CHR за бугром (L2TP)

а если неизвестен IP на том конце? или его сменят?
проще уж через роутинг с маркировками (ну мне по крайней мере)

мой chr мои правила)

[podarok66]

3. Импортирую пользовательский серт с ключом

Вроде три файла ca.cert, client.cert и client.key , они и импортируются именно в этом порядке. Хотя можно их собрать и в один примерно вот так https://podarok66.livejournal.com/23273.html
Я пробовал, всё корректно загружается.

4. Настраиваю opvn client, ставлю галку Add default route

Ещё раз, не надо Add default route, при таком раскладе вы ВЕСЬ трафик отправляете по этому маршруту, потому как получаете маршрут с минимальной дистанцией. И не сможете туда засунуть только маркированные роуты. А вам нужно только определенный. Рано маршрут писать, его потом.

Успешно подключаюсь к настроенному vpn, получая в логах ошибку "unsupported redirect-gateway flag 'bypass-dhcp'"

Если это у вас успешное подключение, то я очень не понял, прямо очень-очень. Я на сервере dhcp-server не использую, у меня адреса выдаются строго определенные для каждого клиента, мне так проще рулить. Как у вашего приятеля не знаю.
Вообще же, есть несколько тонких моментов, которые не позволяют использовать любой предложенный сервак для Микротика. Эта железка не всё поддерживает, а часть того, что вроде как и поддерживает, в действительности работает при куче строгих условий. Поэтому я использую давно опробованный конфиг на всех своих серверах, куда бы я не переезжал.
Можно очень много беседовать, переливая из пустого в порожнее. Вот описание моих действий пошагово и на сервере и на роутере
https://podarok66.livejournal.com/18134.html
И здесь я опять тоже самое описываю. Я сам не помню, зачем я это писал второй раз, наверное приступ старческого склероза
https://podarok66.livejournal.com/19950.html
А вот так можно запустить вторую копию сервера на том же VDS, не трогая настроек первого.
https://podarok66.livejournal.com/19490.html
То есть личную Это для вас с приятелем был бы самый правильный вариант. Просто повторить пошагово и не выдумывать ничего нового.
* Один только момент, на седьмой версии RouterOS таблицу маршрутизации нужно создать вручную до того, как начнете манглы писать. Это в Routing->Tables просто создаете таблицу с маркой vpn и галочкой в чекбоксе FIB
P.S.: У меня нет в продакшн роутеров с седьмой версией прошивки. И проверить я не смогу сейчас всё досконально. Но при любых раскладах, суть одна и та же. Никаких дефолтных роутов, всё пишем руками, ведь мы делим трафик и нам нужно пояснить роутеру, куда и что пойдёт.

[Retrograd]

CA серт тоже закидывал, как я понял он нужен, если стоит галка проверять серт сервера. В обоих случаях ничего не меняется.
По поводу маршрутизации. Еще раз, пожалуйста, давайте игнорить конечную цель в виде части трафика через впн, у меня банально вообще интернет не работает при подключении через микротик. При этом все отлично работает, если использовать клиента OPVN на компе.

[podarok66]

Тогда давайте вы сначала получите подключение с сообщение в логе не с ошибкой, а типа такого

Код: Выделить всё

..........................................ovpn-client: initializing...
............................................ovpn-client: connecting...

Потом просто в маскараде измените правило, указав в качестве out-interface ваш туннель. Комп в качестве примера - смешно. В телевизоре вон кино само идет, в на компе настраивать надо. И что теперь, комп на помойку?