Не могу запустить vpn сервер

Обсуждение ПО и его настройки
ldyur
Сообщения: 28
Зарегистрирован: 18 ноя 2019, 09:12

Здравствуйте!
Ситуация: есть интернет от ростелеком и их оптический терминал, в него подключен 1 роутер mikrotik (является ovpn клиентом, подключен в режиме моста), в него в свою очередь подключен другой микротик, на котором нужно поднять другой ovpn сервер. Сервер настроил по многочисленным гайдам для самых маленьких. У ростелеком статический ip, но я не могу его настроить на роутере. Прописываю его в ip-adresses, но ничего не происходит и я не знаю чего ему не хватает. По статическому адресу могу подключиться к vpn только если я нахожусь с ним в одной сети, снаружи не получается. Нужно ли мне запросить у ростелекома другие настройки кроме ip адреса? Может, проблема в роутере самого ростелекома?
Может, дело в порту 1194. Он вроде бы открыт на обоих микротиках, но если проверить его на 2ip.ru, то он говорит что порт закрыт


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Если у вас ростелекомовский роутер тоже не переведен в режим моста, то статический адрес прилетает на него.
Надо либо через него на второй микротик прокинуть нужные для ovpn-сервера порты.
Либо переводить его в бридж, но тогда видимо придется менять схему сети, потому что оба микротика не смогут одновременно смотреть в сторону провайдера.


Telegram: @thexvo
ldyur
Сообщения: 28
Зарегистрирован: 18 ноя 2019, 09:12

xvo писал(а): 22 мар 2021, 11:31 Если у вас ростелекомовский роутер тоже не переведен в режим моста, то статический адрес прилетает на него.
Надо либо через него на второй микротик прокинуть нужные для ovpn-сервера порты.
Либо переводить его в бридж, но тогда видимо придется менять схему сети, потому что оба микротика не смогут одновременно смотреть в сторону провайдера.
Сделал немного по другому, попробовал подключить второй микротик, на котором нужно поднять сервер, напрямую в роутер ростелекома и пробросил на нем порт, но подключиться к ovpn все равно не могу
Когда подключаюсь к ovpn из локальной сети, то в firewall на 1194 показывает небольшой расход трафика, то есть внутри он работает. Правильно ли понимаю, что значит проблема в терминале ростелекома?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

ldyur писал(а): 23 мар 2021, 07:24 Правильно ли понимаю, что значит проблема в терминале ростелекома?
Не обязательно: у вас этот порт на самом микротике открыт со стороны wan-порта?

Ну а так, напрашивается вопрос, у вас вообще какой-либо доступ снаружи через провайдерский терминал работает?


Telegram: @thexvo
ldyur
Сообщения: 28
Зарегистрирован: 18 ноя 2019, 09:12

xvo писал(а): 23 мар 2021, 10:25
ldyur писал(а): 23 мар 2021, 07:24 Правильно ли понимаю, что значит проблема в терминале ростелекома?
Не обязательно: у вас этот порт на самом микротике открыт со стороны wan-порта?

Ну а так, напрашивается вопрос, у вас вообще какой-либо доступ снаружи через провайдерский терминал работает?
Изначально порт открылся автоматически, видимо, при создании сервера, без указания порта, пробовал оставить так или указать ether1, разницы нет
Как узнать, есть ли доступ снаружи? Не очень понял


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Автоматически на микротике ничего не открывается.
В firewall'е нужно создавать разрешающее правило (в цепочке input).
ldyur писал(а): 23 мар 2021, 10:33 Как узнать, есть ли доступ снаружи? Не очень понял
Как минимум просто попробовать попинговать адрес снаружи. Хотя это и не показательно - пинг провайдерский роутер вполне может сбрасывать.

Потом попробовать прокинуть в сторону микротика какой-то порт.
И добиться, чтобы при обращении на этот порт снаружи, оно действительно доходило до микротика (на микротике добавить правило, которое будет при получении пакета по этому порту писать в лог).


Telegram: @thexvo
ldyur
Сообщения: 28
Зарегистрирован: 18 ноя 2019, 09:12

xvo писал(а): 23 мар 2021, 10:51 Автоматически на микротике ничего не открывается.
В firewall'е нужно создавать разрешающее правило (в цепочке input).
ldyur писал(а): 23 мар 2021, 10:33 Как узнать, есть ли доступ снаружи? Не очень понял
Как минимум просто попробовать попинговать адрес снаружи. Хотя это и не показательно - пинг провайдерский роутер вполне может сбрасывать.

Потом попробовать прокинуть в сторону микротика какой-то порт.
И добиться, чтобы при обращении на этот порт снаружи, оно действительно доходило до микротика (на микротике добавить правило, которое будет при получении пакета по этому порту писать в лог).
Снаружи адрес пингуется
Я не знаю как, но когда я вчера полез открывать порт в firewall, он уже был там открыт. Может, я открыл его раньше, но порт открыт
Изображение


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ок, только лучше это правило на нару позиций вниз передвинуть.

Ну и самое главное, при попытке подключения снаружи счетчик по этому правилу молчит?
И в логе тоже по поводу попытки подключения пусто?

Тогда пытаться разобраться с пробросом на провайдерском роутере.


Telegram: @thexvo
ldyur
Сообщения: 28
Зарегистрирован: 18 ноя 2019, 09:12

xvo писал(а): 23 мар 2021, 11:24 Ок, но при попытке подключения снаружи счетчик по этому правилу молчит?
И в логе тоже по поводу попытки подключения пусто?

Тогда пытаться разобраться с пробросом на провайдерском роутере.
Я пробую подключиться через openvpn на андроид. Если подключаться снаружи, то оно просто вечно ищет сервер и счетчик молчит. Если изнутри, то тикает, в routes показывает подключение. Если честно, не знаю, где у него логи.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Я имею ввиду логи на микротике :)

Если счетчик молчит, значит что-то не так с пробросом на провайдерской коробке.


Telegram: @thexvo
Ответить