Не поднимается opVPN

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
bst-botsman
Сообщения: 184
Зарегистрирован: 13 окт 2018, 20:53
Откуда: Беларусь

JIexa_74 писал(а): 25 окт 2019, 12:39
С компьютера. Можете написать какой маршрут прописат дома в конфиге подключения?
он у вас и так в клиенте прописан...

Код: Выделить всё

route 192.168.1.0 255.255.255.0 192.168.100.1
JIexa_74 писал(а): 25 окт 2019, 12:39
И нужен ли маршрут в офисе на микротике? Если да, то какой?
Нет... Не нужен...

Отключите вот это правило

Код: Выделить всё

add action=masquerade chain=srcnat src-address=192.168.100.0/24

Я не могу одного понять.... Зачем вы на рабочем компьютере подключаетесь к OpenVPN?


RB3011UiAS x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
JIexa_74
Сообщения: 25
Зарегистрирован: 24 окт 2019, 10:46

bst-botsman писал(а): 25 окт 2019, 12:51
JIexa_74 писал(а): 25 окт 2019, 12:39
С компьютера. Можете написать какой маршрут прописат дома в конфиге подключения?
он у вас и так в клиенте прописан...

Код: Выделить всё

route 192.168.1.0 255.255.255.0 192.168.100.1
JIexa_74 писал(а): 25 окт 2019, 12:39
И нужен ли маршрут в офисе на микротике? Если да, то какой?
Нет... Не нужен...

Отключите вот это правило

Код: Выделить всё

add action=masquerade chain=srcnat src-address=192.168.100.0/24

Я не могу одного понять.... Зачем вы на рабочем компьютере подключаетесь к OpenVPN?
1. Роут проверил.
2. Правило отключил
3. А разве не нужно? подключать rdp ведь по ip vpn
Ну и расшарить лан
4. В итоге с работы домой могу попасть (ip пингуется) А из дома на работу нет, теряются пакеты "заданный узел недоступен"
Не понимаю как решить этот вопрос.


bst-botsman
Сообщения: 184
Зарегистрирован: 13 окт 2018, 20:53
Откуда: Беларусь

JIexa_74 писал(а): 25 окт 2019, 13:11 3. А разве не нужно? подключать rdp ведь по ip vpn
Подключайтесь к своему офисному компьютеру - по IP из офисной сети... т.е. 192.168.1.какой_у_вас_тут

и еще... У вас офис и домашний комп - это разные подсети... и файрвол Windows блокирует входящий icmp-трафик (ping) из других сетей... Отключите файрвол в Windows или настройте исключения...
Да и в файрволе Mikrotik у у вас бардак... отключите временно все правила файрвола на Mikrotik - и проверяйте...


RB3011UiAS x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
JIexa_74
Сообщения: 25
Зарегистрирован: 24 окт 2019, 10:46

bst-botsman писал(а): 25 окт 2019, 13:53
JIexa_74 писал(а): 25 окт 2019, 13:11 3. А разве не нужно? подключать rdp ведь по ip vpn
Подключайтесь к своему офисному компьютеру - по IP из офисной сети... т.е. 192.168.1.какой_у_вас_тут

и еще... У вас офис и домашний комп - это разные подсети... и файрвол Windows блокирует входящий icmp-трафик (ping) из других сетей... Отключите файрвол в Windows или настройте исключения...
Да и в файрволе Mikrotik у у вас бардак... отключите временно все правила файрвола на Mikrotik - и проверяйте...
Так, нашел из за которого правила не устанавливалось подключение из дома. Убрал, заработало.
rdp по 192.168.1.... работает
Теперь осталось чтобы сеть локальная 192.168.1.0 увидела сеть 172.20.10.0 и наоборот


bst-botsman
Сообщения: 184
Зарегистрирован: 13 окт 2018, 20:53
Откуда: Беларусь

JIexa_74 писал(а): 25 окт 2019, 15:38 Теперь осталось чтобы сеть локальная 192.168.1.0 увидела сеть 172.20.10.0 и наоборот
Ну в обоих случаях - ваш компьютер должен выступать как роутер

а так - создаете на микротике входящий интерфейс для OVPN настраиваете его на конкретного пользователя - задаете ему статическую адресацию для клиента...
и уже этот интерфейс и адрес используете в маршрутизации на Mikrotike...

Вот как-то так...

Изображение


RB3011UiAS x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
JIexa_74
Сообщения: 25
Зарегистрирован: 24 окт 2019, 10:46

bst-botsman писал(а): 25 окт 2019, 16:51
JIexa_74 писал(а): 25 окт 2019, 15:38 Теперь осталось чтобы сеть локальная 192.168.1.0 увидела сеть 172.20.10.0 и наоборот
Ну в обоих случаях - ваш компьютер должен выступать как роутер

а так - создаете на микротике входящий интерфейс для OVPN настраиваете его на конкретного пользователя - задаете ему статическую адресацию для клиента...
и уже этот интерфейс и адрес используете в маршрутизации на Mikrotike...

Вот как-то так...

Изображение
Суть понял, теперь на вашем примере можете рассказать какие ип откуда, например
1. Полmзователь - remote address - ****** - Устанавливаем статику для клиента VPN?
2. Далее в route - Dst. Address - ****** - Этот откуда? Сеть, к которой будем подключаться?
3. Pref. source - ****** Эта локальная сеть откуда будем подключаться?
4. У вас в интерфейсе пользователь ovnp в статусе какой IP? И участвует ли он в маршрутизации?

В общем теперь настраиваю из дома маршрут. До этого настраивал через модем LTE, по той причине что не было удаленки до работы.
Сейчас хоть РДП поднялся.

Дома сеть (через китайский роутер) Маршрутизации там нет:

Определенный для подключения DNS-суффикс:
Описание: Realtek PCIe GBE Family Controller
Физический адрес: ‎50-E5-49-3A-89-C8
DHCP включен: Да
Адрес IPv4: 192.168.31.212
Маска подсети IPv4: 255.255.255.0
Аренда получена: 25 октября 2019 г. 21:30:11
Аренда истекает: 26 октября 2019 г. 9:30:10
Шлюз по умолчанию IPv4: 192.168.31.1
DHCP-сервер IPv4: 192.168.31.1
DNS-сервер IPv4: 192.168.31.1

Внешка
onnection typeDHCP
IP address: 88.***.5.233
Subnet mask: 255.255.192.0
Default gateway: 88.***.0.1
DNS: 78.29.2.21 78.29.2.22

Настроил route следующим образом (см. скрин). Активен.
Либо не верный маршрут, либо не знаю что...

Маршруты на Клиенте (дома):
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.31.1 192.168.31.212 35
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.1.0 255.255.255.0 192.168.100.1 192.168.100.200 35
192.168.31.0 255.255.255.0 On-link 192.168.31.212 291
192.168.31.212 255.255.255.255 On-link 192.168.31.212 291
192.168.31.255 255.255.255.255 On-link 192.168.31.212 291
192.168.100.0 255.255.255.0 On-link 192.168.100.200 291
192.168.100.200 255.255.255.255 On-link 192.168.100.200 291
192.168.100.255 255.255.255.255 On-link 192.168.100.200 291
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.31.212 291
224.0.0.0 240.0.0.0 On-link 192.168.100.200 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.31.212 291
255.255.255.255 255.255.255.255 On-link 192.168.100.200 291
===========================================================================

Маршруты на сервере:

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 S 0.0.0.0/0 192.168.0.1 1
1 ADS 0.0.0.0/0 pppoe-out1 1
2 ADC 95.**.***.0/32 95.**.***.217 ether1 0
3 ADC 95.***.***.254/32 95.**.***.217 pppoe-out1 0
4 ADC 192.168.1.0/24 192.168.1.1 LAN 0
5 X S 192.168.1.0/24 172.20.10.0 192.168.100.1 1
6 A S 192.168.31.0/24 192.168.1.1 192.168.100.200 1
7 ADC 192.168.100.200/32 192.168.100.1 <ovpn-AutohelpAS> 0


Что поправить?
Вложения
Снимок2.JPG
Снимок2.JPG (49.57 КБ) 2674 просмотра


bst-botsman
Сообщения: 184
Зарегистрирован: 13 окт 2018, 20:53
Откуда: Беларусь

JIexa_74 писал(а): 25 окт 2019, 17:19
Суть понял, теперь на вашем примере можете рассказать какие ип откуда, например
1. Полmзователь - remote address - ****** - Устанавливаем статику для клиента VPN?
2. Далее в route - Dst. Address - ****** - Этот откуда? Сеть, к которой будем подключаться?
3. Pref. source - ****** Эта локальная сеть откуда будем подключаться?
4. У вас в интерфейсе пользователь ovnp в статусе какой IP? И участвует ли он в маршрутизации?
1. Да... Этот адрес будет закреплен за подключением данного пользователя
2. Dst. Address - Это куда маршрут... в какую сеть... у меня на второй стороне за клиентом находится сеть 192.168.250.0/24
3. Pref. source - Это адрес микротика в сети офиса...
4. там будет светится белый адрес вашего интернет-подключения клиента...
JIexa_74 писал(а): 25 окт 2019, 17:19
Определенный для подключения DNS-суффикс:
Описание: Realtek PCIe GBE Family Controller
Физический адрес: ‎50-E5-49-3A-89-C8
DHCP включен: Да
Адрес IPv4: 192.168.31.212
Маска подсети IPv4: 255.255.255.0
Аренда получена: 25 октября 2019 г. 21:30:11
Аренда истекает: 26 октября 2019 г. 9:30:10
Шлюз по умолчанию IPv4: 192.168.31.1
DHCP-сервер IPv4: 192.168.31.1
DNS-сервер IPv4: 192.168.31.1
что-то я не наблюдаю здесь подсети вашей 172.20.10.0/24


RB3011UiAS x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
JIexa_74
Сообщения: 25
Зарегистрирован: 24 окт 2019, 10:46

bst-botsman писал(а): 25 окт 2019, 21:47
JIexa_74 писал(а): 25 окт 2019, 17:19
Суть понял, теперь на вашем примере можете рассказать какие ип откуда, например
1. Полmзователь - remote address - ****** - Устанавливаем статику для клиента VPN?
2. Далее в route - Dst. Address - ****** - Этот откуда? Сеть, к которой будем подключаться?
3. Pref. source - ****** Эта локальная сеть откуда будем подключаться?
4. У вас в интерфейсе пользователь ovnp в статусе какой IP? И участвует ли он в маршрутизации?
1. Да... Этот адрес будет закреплен за подключением данного пользователя
2. Dst. Address - Это куда маршрут... в какую сеть... у меня на второй стороне за клиентом находится сеть 192.168.250.0/24
3. Pref. source - Это адрес микротика в сети офиса...
4. там будет светится белый адрес вашего интернет-подключения клиента...
JIexa_74 писал(а): 25 окт 2019, 17:19
Определенный для подключения DNS-суффикс:
Описание: Realtek PCIe GBE Family Controller
Физический адрес: ‎50-E5-49-3A-89-C8
DHCP включен: Да
Адрес IPv4: 192.168.31.212
Маска подсети IPv4: 255.255.255.0
Аренда получена: 25 октября 2019 г. 21:30:11
Аренда истекает: 26 октября 2019 г. 9:30:10
Шлюз по умолчанию IPv4: 192.168.31.1
DHCP-сервер IPv4: 192.168.31.1
DNS-сервер IPv4: 192.168.31.1
что-то я не наблюдаю здесь подсети вашей 172.20.10.0/24
172.20.10.0 это я сидя на работе подключал модем LTE. Теперь сеть поменял на домашнюю, так как появилась удаленка дом-офис. В связи с этим, сеть изменилась. Получается на скрине выше я маршрут построил верно? Если да, то компы в локалке не видны в сетевом окружении.


bst-botsman
Сообщения: 184
Зарегистрирован: 13 окт 2018, 20:53
Откуда: Беларусь

JIexa_74 писал(а): 26 окт 2019, 08:56 то компы в локалке не видны в сетевом окружении.
А кто говорил что они будут видны???

В-общем матчасть вам - учить, учить и еще раз учить....
Компы в сетевом окружении видны в пределах одного широковещательного домена... Если хотите по другому - поднимайте WINS-сервер...


RB3011UiAS x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
JIexa_74
Сообщения: 25
Зарегистрирован: 24 окт 2019, 10:46

bst-botsman писал(а): 26 окт 2019, 13:02
JIexa_74 писал(а): 26 окт 2019, 08:56 то компы в локалке не видны в сетевом окружении.
А кто говорил что они будут видны???

В-общем матчасть вам - учить, учить и еще раз учить....
Компы в сетевом окружении видны в пределах одного широковещательного домена... Если хотите по другому - поднимайте WINS-сервер...
Не понял, а для чего тогда маршрут делали?
Это да, не силен в мат части.
Суть такая, стоит 1с в офисе на сервере. Могу ли я из дома, находится как бы в локалке офиса, чтобы попасть в базу 1с (если файловый вариант и если клиент серверный)....помимо РДП.


Ответить