маршрутизация в VPN

[Invite_man]

service --status-all
[ + ] acpid
[ + ] apparmor
[ + ] apport
[ + ] atd
[ - ] bootmisc.sh
[ - ] checkfs.sh
[ - ] checkroot-bootclean.sh
[ - ] checkroot.sh
[ + ] console-setup
[ + ] cron
[ - ] cryptdisks
[ - ] cryptdisks-early
[ + ] dbus
[ + ] grub-common
[ - ] hostname.sh
[ - ] hwclock.sh
[ + ] iscsid
[ + ] keyboard-setup
[ - ] killprocs
[ + ] kmod
[ - ] lvm2
[ + ] lvm2-lvmetad
[ + ] lvm2-lvmpolld
[ + ] lxcfs
[ - ] lxd
[ + ] mdadm
[ - ] mdadm-waitidle
[ - ] mountall-bootclean.sh
[ - ] mountall.sh
[ - ] mountdevsubfs.sh
[ - ] mountkernfs.sh
[ - ] mountnfs-bootclean.sh
[ - ] mountnfs.sh
[ + ] networking
[ + ] ntp
[ + ] ondemand
[ + ] open-iscsi
[ - ] open-vm-tools
[ + ] openvpn
[ - ] pcscd
[ - ] plymouth
[ - ] plymouth-log
[ + ] procps
[ + ] rc.local
[ + ] resolvconf
[ - ] rsync
[ + ] rsyslog
[ - ] screen-cleanup
[ - ] sendsigs
[ + ] ssh
[ + ] sshguard
[ + ] udev
[ + ] ufw
[ - ] umountfs
[ - ] umountnfs.sh
[ - ] umountroot
[ + ] unattended-upgrades
[ + ] urandom
[ - ] uuidd

[Invite_man]

сделал как в статье точь в точь - не работает
появился только ПИНГ (скорее всего из за dh1024)
[admin@MikroTik] > ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 ;;; defconf
192.168.88.1/24 192.168.88.0 bridge
1 D 192.168.10.13/28 192.168.10.0 ether1
2 D 10.0.0.6/32 10.0.0.5 ovpn-out1
[admin@MikroTik] > ping 10.0.0.1
SEQ HOST SIZE TTL TIME STATUS
0 10.0.0.1 56 64 147ms
sent=1 received=1 packet-loss=0% min-rtt=147ms avg-rtt=147ms max-rtt=147ms

[podarok66]

Вот как?

2 D 10.0.0.6/32 10.0.0.5 ovpn-out1

А вы пингуете

[admin@MikroTik] > ping 10.0.0.1

Вы серьёзно?

[Invite_man]

Cервер поднимает туннель
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.0.0.1 P-t-P:10.0.0.2 Mask:255.255.255.255
оего и пингую

[podarok66]

Я помнится, так же упирался в эту ерунду. Вот вы посмотрите, вы приводите адреса из своего Тика и там у вас шлюзом 10.0.0.6, а пингуете вы 10.0.0.1
Я же писал уже , это всё в параметр topology subnet упирается. Если параметр используется, у сервера один адрес для всех клиентов, если не используется, то для каждого соединения используется пара адресов клиент-сервер. Чрезвычайно неудобно мне тогда показалось ...
Ну да вам как хочется, так и сделаете.
Дальше, на сервере у меня осталось неупомянутым одно - правило маскарада.

Код: Выделить всё

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE

Его я засунул в rc.local , но тут опять же несколько способов сохранения правила после ребута - rc.local, cron, iptables-save, выбирать вам.
На Микротике всё очень просто. Экспортируем сертификаты, и настраиваем соединение.

Код: Выделить всё

/ppp profile
add local-address=10.0.0.2 name=podarok66 remote-address=10.0.0.1
/ppp secret
add local-address=10.0.0.2 name=podarok66 profile=podarok66 remote-address=10.0.0.1 service=ovpn
/interface ovpn-client
add certificate=podarok66.crt_0 cipher=aes256 connect-to=111.111.222.33 mac-address=02:02:38:62:22:51 name=ovpn-out-1 profile=podarok66 \
    user=podarok66

Потом если нам надо развернуть часть трафика в туннель

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat comment=Zapret dst-address-list=Zapret out-interface=ovpn-out-1 src-address-list="My user"

То есть трафик для клиентов локальной сети из списка My user к сайтам из списка Zapret маскарадится в туннель. Но просто так он туда не полезет, так как есть ещё трафик, который мы пускаем просто через провайдера. Поэтому маркируемся

Код: Выделить всё

/ip firewall mangle
add action=mark-routing chain=prerouting comment=vpn_rout dst-address-list=Zapret new-routing-mark=vpn_rout passthrough=yes

И прописываем маршрут (вот тут-то и нужен неизменный шлюз, для маршрута...)

Код: Выделить всё

/ip route
add comment=Zapret_address distance=2 gateway=10.0.0.1 routing-mark=vpn_rout

Всё, нужный трафик полез в туннель. Джентльмены пьют и закусывают!
Со временем я обновлю инструкцию на ЖЖ, но сейчас просто не могу выбрать время для этого.