Mikrotik в Bridge нет маршрутизации локалки для ovpn клиентов

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Eldar.CNS1U1
Сообщения: 4
Зарегистрирован: 08 мар 2021, 22:18

Доброго времени всем !
Подскажите решение так сказать банального вопроса с маршрутизацией и ovpn серверов на Mikrotik.
1. Mikrotik за NAT в Bridge
2. OVPN сервер на нем
2.1. Клиентом выступает Asus маршрутизатор.
3. Итог:
3.1. C Mikrotik вижу всю сеть за Asus
3.2. С Asus вижу только Mikrotik по таким адресам:
3.2.1. Локальный адрес самого Mikrotik
3.2.2. Локальный адрес PPP профиля
3.2.3. Удаленный адрес PPP профиля
3.3. В Asus маршруты до 192.168.10.0 через 192.168.101.2 - вижу, также добавлял вручную

*Понимаю что проблема скорее всего с фаерволом или натом на Mikrotik, либо форвард надо разрешить либо маскарадинг но как правильно - не знаю, надеюсь на помощь. Спасибо !

Дано:
1. Сеть в которой находиться Mikrotik = 192.168.10.0
1.1. PPP профиль, статика Local = 192.168.101.2
1.2. PPP профиль, статика Remote = 192.168.101.3
1.3. Локальный адрес Mikrotik = 192.168.10.3
2. Сеть в которой находиться Asus = 192.168.2.0
 Конфиг Mikrotik

Код: Выделить всё

# mar/08/2021 21:33:48 by RouterOS 6.48.1
# software id = 
#
#
#
/interface bridge
add arp=proxy-arp name=bridge1
/interface ethernet
set [ find default-name=ether1 ] disable-running-check=no
/interface ovpn-server
add name=vm1r1ovpn1in1 user=vm1r1ovpn1u1
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=0.0.0.1-0.0.0.254
add name=pool1 ranges=192.168.101.101-192.168.101.254
/ip dhcp-server
add address-pool=dhcp interface=ether1 name=dhcp1
/ppp profile
add change-tcp-mss=yes local-address=192.168.101.2 name=ppp1profile1 \
    only-one=yes remote-address=192.168.101.3 use-compression=no \
    use-encryption=no use-mpls=no use-upnp=no
/interface bridge port
add bridge=bridge1 hw=no interface=ether1
/interface l2tp-server server
set authentication=mschap2
/interface list member
add interface=ether1 list=WAN
/interface ovpn-server server
set auth=sha1 certificate=vm1r1c2ovpn1s1 cipher=aes256 default-profile=\
    ppp1profile1 enabled=yes port=31194 require-client-certificate=\
    yes
/interface pptp-server server
set authentication=mschap2
/ip address
add address=192.168.10.3/24 interface=ether1 network=192.168.10.0
/ip dhcp-client
add interface=bridge1
/ip dhcp-server network
add address=0.0.0.0/24 gateway=0.0.0.0 netmask=24
/ip dns
set servers=8.8.8.8
/ip firewall filter
add action=accept chain=input port=ПОРТ protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
/ip route
add distance=1 gateway=192.168.10.1
add distance=1 dst-address=192.168.2.0/24 gateway=vm1r1ovpn1in1
/ppp secret
add name=vm1r1ovpn1u1 password=\
    ПАРОЛЬ profile=ppp1profile1 \
    service=ovpn
/system clock
set time-zone-name=Europe/Kiev
/system identity
set name=VM1R1
/system logging
add topics=ovpn,debug
add topics=ovpn
add disabled=yes topics=ovpn,debug
add disabled=yes topics=ovpn,debug
/system ntp client
set enabled=yes primary-ntp=91.236.251.129 secondary-ntp=162.159.200.123
/tool sniffer
set file-name=1 only-headers=yes
 Конфиг ovpn клиента

Код: Выделить всё

client
dev tun
proto tcp
remote адрес порт
resolv-retry infinite
nobind
persist-key
persist-tun
auth-user-pass
cipher AES-256-CBC
remote-cert-tls server

<ca>
-----BEGIN CERTIFICATE-----
Сертификат сервера
-----END CERTIFICATE-----
</ca>

<key>
-----BEGIN PRIVATE KEY-----
Ключ
-----END PRIVATE KEY-----
</key>

<cert>
-----BEGIN CERTIFICATE-----
Сертификат клиента
-----END CERTIFICATE-----
</cert>

route 192.168.10.0 255.255.255.0


Вернуться к началу
Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

Вижу бред в конфиге. Рисуйте схему с указанием IP адресов на ней.
В бридже один порт на нем DHCP сервер, DHCP клиент, и статик адрес :ne_vi_del:

Код: Выделить всё

/ip dhcp-server
add address-pool=dhcp interface=ether1 name=dhcp1
/interface bridge port
add bridge=bridge1 hw=no interface=ether1
/ip address
add address=192.168.10.3/24 interface=ether1 network=192.168.10.0
/ip dhcp-client
add interface=bridge1
/ip dhcp-server network
add address=0.0.0.0/24 gateway=0.0.0.0 netmask=24
/ip pool
add name=dhcp ranges=0.0.0.1-0.0.0.254
Предполагаю что конфиг ручками поправили до бреда


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
Вернуться к началу
Eldar.CNS1U1
Сообщения: 4
Зарегистрирован: 08 мар 2021, 22:18

Доброго времени, спасибо за ответ!!
1. На Микротике dhcp отключен
2. Конфиг не дергал так чтобы он в кашу смешался
 Схема
Изображение
 Скрины Микротика
Изображение
 Конфиг Микротика

Код: Выделить всё

# mar/09/2021 11:27:13 by RouterOS 6.48.1
# software id = 
#
#
#
/interface bridge
add arp=proxy-arp name=bridge1
/interface ethernet
set [ find default-name=ether1 ] disable-running-check=no
/interface ovpn-server
add name=cns1vm1r1vela1ovpn1in1 user=cns1vm1r1ovpn1cnsvela1u1
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=0.0.0.1-0.0.0.254
add name=pool1 ranges=192.168.101.101-192.168.101.254
/ip dhcp-server
add address-pool=dhcp interface=ether1 name=dhcp1
/ppp profile
add change-tcp-mss=yes local-address=192.168.101.2 name=cnsvela1ppp1profile1 \
    only-one=yes remote-address=192.168.101.3 use-compression=no \
    use-encryption=no use-mpls=no use-upnp=no
/interface bridge port
add bridge=bridge1 hw=no interface=ether1
/interface l2tp-server server
set authentication=mschap2
/interface list member
add interface=ether1 list=WAN
/interface ovpn-server server
set auth=sha1 certificate=cns1vm1r1c2ovpn1s1 cipher=aes256 default-profile=\
    cnsvela1ppp1profile1 enabled=yes port=31194 require-client-certificate=\
    yes
/interface pptp-server server
set authentication=mschap2
/ip address
add address=192.168.10.3/24 interface=ether1 network=192.168.10.0
/ip dhcp-client
add interface=bridge1
/ip dhcp-server network
add address=0.0.0.0/24 gateway=0.0.0.0 netmask=24
/ip dns
set servers=8.8.8.8
/ip firewall filter
add action=accept chain=input port=31194 protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
/ip route
add distance=1 gateway=192.168.10.1
add distance=1 dst-address=192.168.2.0/24 gateway=cns1vm1r1vela1ovpn1in1
/ppp secret
add name=cns1vm1r1ovpn1cnsvela1u1 profile=cnsvela1ppp1profile1 service=ovpn
/system clock
set time-zone-name=Europe/Kiev
/system identity
set name=CNS1VM1R1
/system logging
add topics=ovpn,debug
add topics=ovpn
add disabled=yes topics=ovpn,debug
add disabled=yes topics=ovpn,debug
/system ntp client
set enabled=yes primary-ntp=91.236.251.129 secondary-ntp=162.159.200.123
/tool sniffer
set file-name=1 only-headers=yes


Вернуться к началу
Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

Eldar.CNS1U1 писал(а): 09 мар 2021, 14:27 1. На Микротике dhcp отключен
не верю

/ip pool
add name=dhcp ranges=0.0.0.1-0.0.0.254
/ip dhcp-server
add address-pool=dhcp interface=ether1 name=dhcp1
Включен и раздает "запрещенные" адреса

Назначен статический адрес
/ip address
add address=192.168.10.3/24 interface=ether1 network=192.168.10.0

добавлен в бридж, а на бридж навешан клиент
/interface bridge port
add bridge=bridge1 hw=no interface=ether1
/ip dhcp-client
add interface=bridge1

:ne_vi_del:

Задача маршрутизации сетей решается маршрутами (routes)
Судя по Вашей схеме должен быть маршрут на Asus 192.168.10.1 маршрут до сети 192.168.2.0/24 через шлюз 192.168.10.3
На микротике маршрут до сети 192.168.2.0/24 через шлюз192.168.101.3/32
на Asus 192.168.2.1 маршрут до сети 192.168.10.0/24 через шлюз 192.168.101.2/32

Не уверен что получится сделать на асусах.


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
Вернуться к началу
Ответить

Вернуться в «FAQ (Для начинающих)»