OVPN между Mikrotik'ами не видно устройств за ними

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Forged
Сообщения: 39
Зарегистрирован: 19 июн 2020, 17:24

Доброго времени суток.
Столкнулся с проблемой в работе OVPN на Микротик.

Общая инфа: Имеется 2 микротика между ними настроен OVPN соединение (с сертификатами и всеми делами). Микротик-клиент отображается в "Active Connections" PPP раздела Микротика-сервера.
У Микротика сервера имеется 3 vlan'а:
1) Локальная сеть (vlan 1)
2) Спец. сеть (vlan 26)
3) OVPN (vlan 25)
У Микротика-клиента один vlan - 88

Суть проблемы: С Микротика-клиента пингуется только сеть 192.168.25.1, сети 192.168.1.1 и 192.168.26.1 не пингуются. Следовательно не пингуются устройства за ними. Полазил по темам про настройку ovpn на Микротике, но какие-то расхождения с тем что у меня уже настроено не обнаружил.
Как решить данную проблему? Подозреваю, что дело в правилах Firewall.


Forged
Сообщения: 39
Зарегистрирован: 19 июн 2020, 17:24

Как это выглядит на примере устройств из 33 vlan'а:
Изображение


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Не совсем понятно причем тут вланы, ну да ладно, сети есть и уже хорошо.
1) Скриншоты самый неинформативный способ показать что либо.
2) Конфиг - лучший способ показать что либо, дает максимальное понимание происходящего.
3) Иногда просто конфига бывает мало, особенно в сложных сетях, в таких случаях к кофигу стоит добавить схему структуры сети с описанием адресов и пространств адресов за оборудованием.
4) Т.к. конфига и схемы пока что вы не показали, то можно попробовать погадать, например в сторону отсутствующих маршрутов, на обоих устройствах, или хотя бы на одном из них, или же некорректное их написание. Если маршруты все же есть и вы уверены что они правильные, то стоит посмотреть на фаервол, возможно кто-то где-то что-то режет, а что бы это проверить, просто выключите фаервол на время проверок с обеих сторон. Так же не забывайте про фаерволы клиентских устройств, они тоже могут сыграть злую шутку, когда все сетевое оборудование настроено правильно, а клиенты просто не отвечают из-за фаерволов.

В общем еще много всякого интересного можно проверить, но у нас же тут форум по сетевому оборудованию, а не кружок юных черных магов-ясновидцев, гадающих на всем подряд, от кофейной гущи, до перхоти пчелы.


Forged
Сообщения: 39
Зарегистрирован: 19 июн 2020, 17:24

KARaS'b, благодарю за отклик!

Не совсем понял какие конфиги Ваш необходимы. Пробовал полностью отключить все правила фильтрации на обоих Микротиках. Не помогло.

Сеть довольно простая и устроена так:
На Микротик сервер в 1-ый порт приходит интернет с белым IPшником.
На 2-3 порту поднят бридж на 1-ом vlan. Все устройства внутри пингуют 8.8.8.8.
На 5 порте находится бридж с 26 vlanом (сейчас временно 33). Так же устройства внутри пингуют 8.8.8.8
На оба vlan прописаны dhcp сервера с привязкой на бридж.
На данному микротике поднят ovpn сервер. Пробовал к нему подключаться как с микротика клиента, так и с компьютера за микротиком клиентом через Openvpn GUI. Подключение идёт, на сервере в Активных клиентах "повисает" клиент с прикреплённым к нему ip 192.168.25.1.

На Микротик клиент аналогично на 1 порт походит интернет с белым IP
На 2-5 порту поднят бридж на 88 Vlan. Устройства внутри пингуют 8.8.8.8

P.s. Заметил на сервере в ip-->routes при подключении клиента по ovpn появляется маршрут:
Dst. Address: 192.168.25.1
Gateway: ovpn-connect reachable
Pref. Source: 192.168.33.1

Видимо поэтому 192.168.33.1 пингуется с клиента, но это не тот 33 который нужен. Устройства с 1 vlan тоже не пингуются с клиента.
Исходя из этого понятно, что подключенный клиент не видит устройств дальше микротика сервера. Либо просто не знает куда стучаться.


Forged
Сообщения: 39
Зарегистрирован: 19 июн 2020, 17:24

Ну и задача: иметь возможность подключиться с помощью ovpn к устройствам в 33 vlan (т.е. по сути открыть доступ к устройствам за 5 портом).

Есть желание перенастроить это дело, но нужно среди большого количества мануалов найти более подходящий. Если таковой есть был бы благодарен за ссылочку на него. Спасибо :co_ol:


bst-botsman
Сообщения: 184
Зарегистрирован: 13 окт 2018, 20:53
Откуда: Беларусь

Forged писал(а): 22 июн 2020, 01:30
Исходя из этого понятно, что подключенный клиент не видит устройств дальше микротика сервера. Либо просто не знает куда стучаться.
А клиент вообще знает что пакеты для подсети 192.168.33. нужно отправлять в туннель OpenVPN???

P.S. Рисуйте схему сети и выкладывайте конфиги...


RB3011UiAS x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
Forged
Сообщения: 39
Зарегистрирован: 19 июн 2020, 17:24

bst-botsman писал(а): 22 июн 2020, 07:19
Forged писал(а): 22 июн 2020, 01:30
Исходя из этого понятно, что подключенный клиент не видит устройств дальше микротика сервера. Либо просто не знает куда стучаться.
А клиент вообще знает что пакеты для подсети 192.168.33. нужно отправлять в туннель OpenVPN???
Да, в routes прописано, что 192.168.33.0/24 - это ovpn. Сделал похожую настройку на микротике сервере и пинганул сеть за клиентом. Та же фигня, 192.168.88.1 пингуется, дальше - нет.


bst-botsman
Сообщения: 184
Зарегистрирован: 13 окт 2018, 20:53
Откуда: Беларусь

Не ping-ом единым...
Во-первых - состояние файрвола на клиентских устройствах.
Во-вторых - что говорит tracert (Windows) или traceroute (Linux).
В-третьих - Вы так и не показали ни схему сети ни конфигурацию Mikrotik-ов.


RB3011UiAS x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
Forged
Сообщения: 39
Зарегистрирован: 19 июн 2020, 17:24

Кажется заработало :ya_hoo_oo: , пересобрал сеть и в NAT Создал правило:

Chain: srcnat
Src. Address: 192.168.26.0/24 // Сеть OVPN
Dst. Address: 192.168.33.0/24 // Сеть для подключения устройств

Action: src-nat
To Addresses: 192.168.33.1

Сейчас буду менять vlan на нужный и тестить.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

С некоторыми оговорками можно сказать, что "и так тоже можно".


Telegram: @thexvo
Ответить