service --status-all
[ + ] acpid
[ + ] apparmor
[ + ] apport
[ + ] atd
[ - ] bootmisc.sh
[ - ] checkfs.sh
[ - ] checkroot-bootclean.sh
[ - ] checkroot.sh
[ + ] console-setup
[ + ] cron
[ - ] cryptdisks
[ - ] cryptdisks-early
[ + ] dbus
[ + ] grub-common
[ - ] hostname.sh
[ - ] hwclock.sh
[ + ] iscsid
[ + ] keyboard-setup
[ - ] killprocs
[ + ] kmod
[ - ] lvm2
[ + ] lvm2-lvmetad
[ + ] lvm2-lvmpolld
[ + ] lxcfs
[ - ] lxd
[ + ] mdadm
[ - ] mdadm-waitidle
[ - ] mountall-bootclean.sh
[ - ] mountall.sh
[ - ] mountdevsubfs.sh
[ - ] mountkernfs.sh
[ - ] mountnfs-bootclean.sh
[ - ] mountnfs.sh
[ + ] networking
[ + ] ntp
[ + ] ondemand
[ + ] open-iscsi
[ - ] open-vm-tools
[ + ] openvpn
[ - ] pcscd
[ - ] plymouth
[ - ] plymouth-log
[ + ] procps
[ + ] rc.local
[ + ] resolvconf
[ - ] rsync
[ + ] rsyslog
[ - ] screen-cleanup
[ - ] sendsigs
[ + ] ssh
[ + ] sshguard
[ + ] udev
[ + ] ufw
[ - ] umountfs
[ - ] umountnfs.sh
[ - ] umountroot
[ + ] unattended-upgrades
[ + ] urandom
[ - ] uuidd
маршрутизация в VPN
-
- Сообщения: 7
- Зарегистрирован: 22 окт 2019, 07:56
сделал как в статье точь в точь - не работает
появился только ПИНГ (скорее всего из за dh1024)
[admin@MikroTik] > ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 ;;; defconf
192.168.88.1/24 192.168.88.0 bridge
1 D 192.168.10.13/28 192.168.10.0 ether1
2 D 10.0.0.6/32 10.0.0.5 ovpn-out1
[admin@MikroTik] > ping 10.0.0.1
SEQ HOST SIZE TTL TIME STATUS
0 10.0.0.1 56 64 147ms
sent=1 received=1 packet-loss=0% min-rtt=147ms avg-rtt=147ms max-rtt=147ms
появился только ПИНГ (скорее всего из за dh1024)
[admin@MikroTik] > ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 ;;; defconf
192.168.88.1/24 192.168.88.0 bridge
1 D 192.168.10.13/28 192.168.10.0 ether1
2 D 10.0.0.6/32 10.0.0.5 ovpn-out1
[admin@MikroTik] > ping 10.0.0.1
SEQ HOST SIZE TTL TIME STATUS
0 10.0.0.1 56 64 147ms
sent=1 received=1 packet-loss=0% min-rtt=147ms avg-rtt=147ms max-rtt=147ms
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Вот как?
А вы пингуете
Вы серьёзно?
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 7
- Зарегистрирован: 22 окт 2019, 07:56
Cервер поднимает туннель
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.0.0.1 P-t-P:10.0.0.2 Mask:255.255.255.255
оего и пингую
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.0.0.1 P-t-P:10.0.0.2 Mask:255.255.255.255
оего и пингую
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Я помнится, так же упирался в эту ерунду. Вот вы посмотрите, вы приводите адреса из своего Тика и там у вас шлюзом 10.0.0.6, а пингуете вы 10.0.0.1
Я же писал уже , это всё в параметр topology subnet упирается. Если параметр используется, у сервера один адрес для всех клиентов, если не используется, то для каждого соединения используется пара адресов клиент-сервер. Чрезвычайно неудобно мне тогда показалось ...
Ну да вам как хочется, так и сделаете.
Дальше, на сервере у меня осталось неупомянутым одно - правило маскарада.
Его я засунул в rc.local , но тут опять же несколько способов сохранения правила после ребута - rc.local, cron, iptables-save, выбирать вам.
На Микротике всё очень просто. Экспортируем сертификаты, и настраиваем соединение.
Потом если нам надо развернуть часть трафика в туннель
То есть трафик для клиентов локальной сети из списка My user к сайтам из списка Zapret маскарадится в туннель. Но просто так он туда не полезет, так как есть ещё трафик, который мы пускаем просто через провайдера. Поэтому маркируемся
И прописываем маршрут (вот тут-то и нужен неизменный шлюз, для маршрута...)
Всё, нужный трафик полез в туннель. Джентльмены пьют и закусывают!
Со временем я обновлю инструкцию на ЖЖ, но сейчас просто не могу выбрать время для этого.
Я же писал уже , это всё в параметр topology subnet упирается. Если параметр используется, у сервера один адрес для всех клиентов, если не используется, то для каждого соединения используется пара адресов клиент-сервер. Чрезвычайно неудобно мне тогда показалось ...
Ну да вам как хочется, так и сделаете.
Дальше, на сервере у меня осталось неупомянутым одно - правило маскарада.
Код: Выделить всё
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE
На Микротике всё очень просто. Экспортируем сертификаты, и настраиваем соединение.
Код: Выделить всё
/ppp profile
add local-address=10.0.0.2 name=podarok66 remote-address=10.0.0.1
/ppp secret
add local-address=10.0.0.2 name=podarok66 profile=podarok66 remote-address=10.0.0.1 service=ovpn
/interface ovpn-client
add certificate=podarok66.crt_0 cipher=aes256 connect-to=111.111.222.33 mac-address=02:02:38:62:22:51 name=ovpn-out-1 profile=podarok66 \
user=podarok66
Код: Выделить всё
/ip firewall nat
add action=masquerade chain=srcnat comment=Zapret dst-address-list=Zapret out-interface=ovpn-out-1 src-address-list="My user"
Код: Выделить всё
/ip firewall mangle
add action=mark-routing chain=prerouting comment=vpn_rout dst-address-list=Zapret new-routing-mark=vpn_rout passthrough=yes
Код: Выделить всё
/ip route
add comment=Zapret_address distance=2 gateway=10.0.0.1 routing-mark=vpn_rout
Со временем я обновлю инструкцию на ЖЖ, но сейчас просто не могу выбрать время для этого.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...