Site-2-Site OpenVPN

[PoulMorphy]

Добрый день, прошу помощи в сложившейся у меня ситуации:
Задача объединить офисы между собой по средством openvpn!

Есть "условно" головной ЦОД, где генерируются сертификаты и выделяются подсети для отдельных объектов.
Мне на объекте "М" присвоили ключи для тунеля и настройки, а так же выделили 10.0.239.208/28 внутреннюю подсеть.

Микрот сбросил, обновился, поднял NAT, DNS, подцепил сертификаты, поднял тонель с ЦОД - он поднялся!
Начал настраивать DHCP:
- Выделил пул адресов 10.0.239.209-10.0.239.222
- прописал настройки dhcp
ИПы раздались, дальше по сути все должно заработать, но фиг там, инет по сети не появился, другие офисы не видит, пинги не проходят (пишет "Превышен срок жизни (TTL) при передаче пакета") при этом потерь нет...

Самое главное что когда АП DHCP к примеру 192.168.0.1/24 то инет появляется и все работает! но с учетом того что подсеть другая связи с офисами нет
Пожалуйста кто может и знает в чем проблема и куда смотреть подсобите ...

[PoulMorphy]

ап, пожалуйста

[xvo]

Всегда в таких случаях первым делом проверять:
- наличие маршрутов везде где надо;
- отсутствие правил в firewall'ах блокирующих то, что блокировать не следует;
- не работает ли случайно NAT слишком широко;

[PoulMorphy]

Всегда в таких случаях первым делом проверять:
- наличие маршрутов везде где надо;
- отсутствие правил в firewall'ах блокирующих то, что блокировать не следует;
- не работает ли случайно NAT слишком широко;

не совсем понял ответ,
- маршруты стандартно на wan, на lan, на vpn..ничего лишнего
- правил блокирующих вообще пока что не делал
- это как? там одно правило маскарад на wan

[xvo]

- маршруты стандартно на wan, на lan, на vpn..ничего лишнего

На другой стороне туннеля тоже есть маршрут до вашей локальной 192.168...?

[maezztro]

Попробуйте подебажить. В RouteOS есть некий аналог tcpdump: ip -> firewall --> connections


1. Запустите пинг на каком либо роутер ( например роутер клиент ===> роутер ЦОД )
2. Запустите на каждом роутере окошко (Connections)
3. Смотрите на пакеты (колонка Orig./Repl. Bytes) , как они ходят - в обе стороны или в одну.

По пакетом можно определить с какой стороны у вас проблема и уже там дальше искать в чём именно.

[PoulMorphy]

- маршруты стандартно на wan, на lan, на vpn..ничего лишнего

На другой стороне туннеля тоже есть маршрут до вашей локальной 192.168...?

нет, на другой стороне есть нунель до 10.0.239.208/28

[xvo]

Ну так добавьте.

И, видимо, на этой стороне маршрута до удаленной подсети тоже все-таки нет, а 10.0.0.0/8 это только для самих туннелей?

[maezztro]

- маршруты стандартно на wan, на lan, на vpn..ничего лишнего

На другой стороне туннеля тоже есть маршрут до вашей локальной 192.168...?

нет, на другой стороне есть нунель до 10.0.239.208/28

добавьте маршрут или ходите через нат. для ната маршрут не обязателен.

[PoulMorphy]

Ну так добавьте.

И, видимо, на этой стороне маршрута до удаленной подсети тоже все-таки нет, а 10.0.0.0/8 это только для самих туннелей?

На другой стороне туннеля тоже есть маршрут до вашей локальной 192.168...?

нет, на другой стороне есть нунель до 10.0.239.208/28

добавьте маршрут или ходите через нат. для ната маршрут не обязателен.

192.168.х.х - это произвольная подсеть, для дхцп... (тут работает инет, но не работает внутрисеть)
10.0.х.х - это подсеть нашей компании по городу, и именно такая (10.0.239.208/28) подсеть и должна быть на данном объекте!
Я не могу изменить или посмотреть настройки в ЦОД (это другое подразделение, соответственно у меня нет доступа)