ovpn - нет пинга между клиентом (мт) и сервером (мт)

Обсуждение ПО и его настройки
Ответить
denis.klimov
Сообщения: 3
Зарегистрирован: 03 окт 2018, 20:57
Откуда: Казань

Подскажите, пожалуйста, по ovpn. Авторизация клиентов без сертификатов, интерфейс поднимается с обоих сторон успешно.
Но если на стороне клиента в настройках выставить add default route - пинг не ходит между назначающимися адресами сети vpn 192.168.10.1 и .2.
Ни с клиента до сервера, ни с сервера до клиента.
Маршруты динамические появляются прямо в адрес, пинги разрешены вроде все.
По ovpn интерефейсам передача (tx) появляется, приема ноль.

При этом если на клиенте не выставить add default route - пинги ходят.
На сервере вообще от этого маршруты не меняются.
На клиенте появляется динамический маршрут в 0.0.0.0/0 с гейтом 192.168.10.1.
Как это может мешать при наличии прямого маршрута в адрес?

сервер:

Код: Выделить всё

/interface ovpn-server
add name=ovpn1 user=user1
/ip pool
add name=ovpnlist ranges=192.168.10.2-192.168.10.10
/ppp profile
add change-tcp-mss=yes local-address=192.168.10.1 name=ovpnsrv \
    remote-address=ovpnlist use-compression=no use-encryption=yes use-mpls=yes use-upnp=no
/interface ovpn-server server
set certificate=ovpn_server_cert default-profile=ovpnsrv enabled=yes keepalive-timeout=3600
/ip firewall filter
add action=accept chain=input dst-port=1194 in-interface=WAN protocol=tcp
add action=accept chain=input protocol=icmp
/ppp secret
add local-address=192.168.10.1 name=user1 password=u1pass profile=\
    ovpnsrv remote-address=192.168.10.2 service=ovpn
клиент:

Код: Выделить всё

/ppp profile
add change-tcp-mss=yes name=ovpnclt use-upnp=no
/interface ovpn-client
add add-default-route=yes auth=md5 connect-to=XXX.XXX.XXX.XXX mac-address=\
    XX:XX:XX:XX:XX:XX name=ovpncon password=u1pass profile=ovpnclt user=user1
/ip firewall filter
add chain=input comment="defconf: accept ICMP" protocol=icmp


denis.klimov
Сообщения: 3
Зарегистрирован: 03 окт 2018, 20:57
Откуда: Казань

отвечу сам себе
в маршрутах дело было

указание add default route добавляло приоритетный маршрут, как и должно быть
с dst-address=0.0.0.0/0 то есть для прохода на все адреса

при этом ранее действовавший маршрут с dst-address=0.0.0.0/0 становился неактивным
тот самый, через который строился туннель ovpn :smu:sche_nie:
то есть маршрут до сервера ovpn пропадал

соответственно, все инструкции по настройке ovpn надо дополнить этой оговоркой
что нужно задать отдельный маршрут до ovpn сервера по его прямому ip, например

add distance=50 dst-address=XXX.XXX.XXX.XXX/32 gateway=<ISP>%eth1

значение distance неважно, прямое совпадение по адресу обусловит приоритет использования этого маршрута


Ответить