Нет доступа к локальным адресам клиентов OVPN.

Обсуждение ПО и его настройки
Ответить
V palto
Сообщения: 47
Зарегистрирован: 12 дек 2014, 16:21

Здравствуйте!
Есть hEX (RouterBOARD 750G r3), в интернет он ходит по двум туннелям OVPN один из которых резервный. Также на этом микротике поднят OVPN-сервер к которому подключается несколько микротиков-клиентов. У клиентов IP из той же подсети, что и сам OVPN-сервер. Т.е. у сервера 192.168.1.1, клиентам выдаются адреса 192.168.1.200, 192.168.1.201 и т.д.. Адреса эти статичны.
На сервере OVPN (hEX) маскарадинг на OVPN-туннели с интернетом + маскарадинг на !ether1, т.е. на все, кроме локального свитча, значит и на туннели, поднимаемые клиентами (кстати, так и не понял как сделать маскарадинг конкретно на туннель от клиента, ведь если он падает, то правило потом красное и не работает даже если туннель переподнимается).
Собственно говоря, с компа, который стоит в метре от hEX и соединен витухой в свитч hEX-а, и имеет IP, например, 192.168.1.3 уже года два успешно пинговались, админились через винбокс удаленные клиентские микротики по их IP вида 192.168.1.200, 192.168.1.201 и т.д... И так было вплоть до прошивок 6.40.x

В конце 2017 года произошло чудо - прошивка 6.41 со своими чудо-бриджами вместо свитчей. Обновились все микротики успешно, я даже порадовался работающему IGMP-snooping и отсутствию флуда от IPTV, но на этом радость кончилась. Теперь с компа 192.168.1.3 я не могу достучаться до клиентских микротиков по их локальным (со стороны компа) IP 192.168.1.200, 192.168.1.201 и т.д... А с hEX-а эти IP 192.168.1.200, 192.168.1.201 и т.д. пингуются.

Вот на hEX-е уже и фаерволл выключал - ничего не поменялось.
Что случилось? Это проблема прошивки или же из-за бриджей теперь что-то надо настроить иначе в плане OVPN-сервер - OVPN-клиент? В фаерволле и NATе вроде бы везде, где у меня был ether1 стало bridge1. В том числе и маскарадинг теперь !bridge1.

Если надо конфиги, логи - выложу.


V palto
Сообщения: 47
Зарегистрирован: 12 дек 2014, 16:21

Вроде бы нашел в чем проблема. Если клиентов OVPN цеплять на IP-адреса в подсеть, отличную от подсети OVPN-сервера, то все работает как надо.
Правда вот маршрутов исправлять пришлось много.
Таки почему же раньше до ROS 6.41 работало и в одной подсети?


Ответить