Нет интернета через ovpn client

[Retrograd]

Добрый день.
Есть частный ovpn server (не мой), которым я постоянно пользуюсь на компе и телефоне. Недавно взял микротик RB951G-2HnD для настройки впн на нем и пропуска туда только определенных сайтов.
Собственно проблема, при настройке данного впн на микротике интернет пропадает вообще, в том числе с самого роутера (проверял пингом на 8.8.8.8).
Галка add default route включена. Соединение с самим внп сервером проходит успешно, но в логах есть ошибка unsupported redirect-gateway flag 'bypass-dhcp' (я понятия не имею на что это влияет)
Настраивать пробовал как с дефолтными настройками после сброса, так и без оных добавив минимальную конфигурацию руками.
Если после подключения на роутере подключить еще и клиент с компа, то на компе интернет начинает работать, но со скоростью диалапа.
RouterOS сейчас стоит 7.8beta2, пробовал так-же на 7.7.

 конфиг

# feb/05/2023 12:37:37 by RouterOS 7.8beta2
# software id = HR3P-3MPY
#
# model = RB951G-2HnD
# serial number = s/n
/interface bridge
add admin-mac=mac auto-mac=no name=bridge
/interface wireless
set [ find default-name=wlan1 ] country=russia disabled=no mode=ap-bridge \
ssid=ssid wireless-protocol=802.11
/interface ovpn-client
add add-default-route=yes certificate=cert.crt_0 connect-to=\
IP disabled=no mac-address=mac name=111 \
protocol=udp user=nobody
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
dynamic-keys supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.88.2-192.168.88.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=dhcp1
/lora servers
add address=eu.mikrotik.thethings.industries down-port=1700 name=TTN-EU \
up-port=1700
add address=us.mikrotik.thethings.industries down-port=1700 name=TTN-US \
up-port=1700
add address=eu1.cloud.thethings.industries down-port=1700 name=\
"TTS Cloud (eu1)" up-port=1700
add address=nam1.cloud.thethings.industries down-port=1700 name=\
"TTS Cloud (nam1)" up-port=1700
add address=au1.cloud.thethings.industries down-port=1700 name=\
"TTS Cloud (au1)" up-port=1700
add address=eu1.cloud.thethings.network down-port=1700 name="TTN V3 (eu1)" \
up-port=1700
add address=nam1.cloud.thethings.network down-port=1700 name="TTN V3 (nam1)" \
up-port=1700
add address=au1.cloud.thethings.network down-port=1700 name="TTN V3 (au1)" \
up-port=1700
/interface bridge port
add bridge=bridge interface=ether2
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
add bridge=bridge interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=ether1 list=WAN
add interface=bridge list=LAN
add interface=111 list=WAN
/ip address
add address=192.168.88.1/24 interface=bridge network=192.168.88.0
/ip dhcp-client
add interface=ether1 use-peer-dns=no
/ip dhcp-server network
add address=192.168.88.0/24 dns-server=192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip firewall nat
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=\
WAN src-address=192.168.88.0/24
/ip service
set ftp disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

[svetogor82]

на openvpn клиенте distanse 10 укажите и nat на него
и не забудьте настроить маркирование пакетов что бы завернуть пакеты в vpn туннель

[podarok66]

Недавно взял микротик RB951G-2HnD для настройки впн на нем и пропуска туда только определенных сайтов.

Если именно для части сайтов, то дефолтный маршрут на туннель не стоит делать.
* Сначала делаем список сайтов в адрес-листах фаервола.
* Создаем дополнительную таблицу ( это касается седьмой версии прошивки, в шестой просто метку в манглах создаем).
* В манглах маркируем роуты для дестинейшн-адресов из составленного ранее списка (метка только что созданной таблицы).
* И уже потом руками пишем маршрут, заворачивая только помеченные роуты.
* Маскарады пишем с учетом того же списка и out-interface выбираем соответствующий.
Тогда точно будет ходить как надо.

[-13-]

Недавно взял микротик RB951G-2HnD для настройки впн на нем и пропуска туда только определенных сайтов.

Если именно для части сайтов, то дефолтный маршрут на туннель не стоит делать.
* Сначала делаем список сайтов в адрес-листах фаервола.
* Создаем дополнительную таблицу ( это касается седьмой вермии прошивки, в шестой просто метку в манглах создаем).
* В манглах маркируем роуты для дестинейшн-адресов из составленного ранее списка (метка только что созданной таблицы).
* И уже потом руками пишем маршрут, заворачивая только помеченные роуты.
* Маскарады пишем с учетом того же списка и out-interface выбираем соответствующий.
Тогда точно будет ходить как надо.

Добавлю с Вашего позволения...
Если пользуемся fasttrack, то еще нужно помечать и соединения "mark connectioon", а потом все это исключать в fasttrack

[Retrograd]

на openvpn клиенте distanse 10 укажите и nat на него
и не забудьте настроить маркирование пакетов что бы завернуть пакеты в vpn туннель

Можно подробней про "nat на него"?


Маркирование для маршрутизации в впн я делал в другом конфиге. Основной вопрос не в том как туда заворачивать определенный трафик, а в том, что через него нет выхода в интернет. И как это побороть я не понимаю.

Такой список маршрутов создает ротуер автоматом

[svetogor82]

nat на ваш /interface ovpn-client которым вы подключаетесь
трафик и не будет ходить пока маркирование не сделаете

[Retrograd]

nat на ваш /interface ovpn-client которым вы подключаетесь
трафик и не будет ходить пока маркирование не сделаете

Пробовал и с маскарадом на vpn и без.
Почему трафик без маркирования ходить не будет? Он должен пускать весь трафик в впн, без маркеров с простановкой маршрутов по "add default route".
Маркеры на нужные сайты я настраивал. В итоге открывалось все, кроме этих сайтов, при включенном vpn.

[svetogor82]

если у вас ros 7 читайте https://dzen.ru/a/YlSlHeNcqySLSmCL

[Retrograd]

если у вас ros 7 читайте https://dzen.ru/a/YlSlHeNcqySLSmCL

Настроил маршрутизацию как там описано, интернет не работает :(
Могут быть какие-то специфические настройки на сервере OpenVPN, которые мешают работать через маршрутизатор?

[-13-]

пошаговая инструкция

для отдельных сайтов через VPN, ROS7
1 - создаем таблицу для VPN, Routing Tables (галочку на FIB)
2 - создаем маршрут 0.0.0.0/0, GW - интерфейс VPN, Routing Table - VPN
3 - маркируем connection и routing через address list
4 - если есть fasttrack, то исключить оттуда помеченные connection
5 - если VPN чужой, через nat включаем masquerad (у меня есть interface list - WAN, в него вкл интерфейс VPN)
6 - если VPN свой, настроить маршрутизацию с двух сторон

У автора темы в конфиге увидел "add-default-route=yes" на VPN интерфейсе, нужно отключить.

для всего интернета через VPN, ROS7
почти все тоже самое, только главное добавить маршрут до VPN сервиса через IP от вашего провайдера.

Кажется ничего не забыл...

Тут вот для настройки на WireGuard, но общий смысл один

 

https://interface31.ru/tech_it/2022/04/ ... rotik.html