freebsd+openvpn+mikrotik

Обсуждение ПО и его настройки
Ответить
Rainmib
Сообщения: 5
Зарегистрирован: 25 ноя 2016, 13:38

Имеем настроенный сервер Openvnp сервер на freebsd.
конфиг сервера:
port 1194
proto tcp
dev tun0
topology subnet
ca keys/ss_ca/ca.crt
cert keys/ss_ca/ss_server.crt
key keys/ss_ca/ss_server.key
dh keys/ss_ca/dh2048.pem
server 10.10.200.0 255.255.255.0
crl-verify keys/ss_ca/crl.pem
user nobody
group nogroup
status servers/SS_VPN/logs/openvpn-status.log
log-append servers/SS_VPN/logs/openvpn.log verb 5 mute 20 max-clients 100 keepalive 10 120

push "route 172.16.0.0 255.255.254.0"

client-config-dir /usr/local/etc/openvpn/servers/SS_VPN/ccd

route 192.168.96.0 255.255.240.0

#client-to-client - с такой строчкой которая якобы должна позволять клиентам работать друг с другом вообще пропадает связь никто никого не пингует.

# comp-lzo
persist-key
persist-tun
ccd-exclusive

а в папке ccd
файл client
iroute 192.168.96.0 255.255.240.0 - дублирование пуша из конфига сервера - убрали
fconfig-push 10.10.200.6 255.255.255.0 - присвоение конкретного ип клиенту - убрали

И микротик с другой стороны который настроен обычным образом +
На микротике нету ни одного бриджа - каждый порт на cpu.
На нем много вланов на 1 интерфейсе типа транка - там ип адреса вида 192.168.100.1/24, 192.168.101.1.24 и так далее
все они соответственно в сети 192.168.96.0 по маске 255.255.240.0

Микротик для своих клиентских машин является шлюзом по умолчанию, шлюзы соответственно 192.168.100.1/24, 192.168.101.1.24 и так далее
При коннекте к серверу микротик получает маршрут на сеть 172.16.0.0/23 типа в интерфейс опенвпн.

Результат этих мероприятий таков - с самого микротика я могу достучаться до аббонентов в сети 172.16.0.0/23
С клиентов за микротиком - нет.
С клиентов в сети 172.16.0.0/23 тоже никуда попасть не могу за микротик - пингую только интерфейсы самого микротика.

Если включить нат на микротике
1 chain=srcnat action=masquerade src-address=192.168.96.0/20 dst-address=172.16.0.0/23 out-interface=OVPNclient log=no log-prefix=""
то с клиентов за микротиком я попадаю на сервера за freebsd, но это же не дело.

Где косяки?
Что не так сделано?


Ответить