Вопросы по VPN

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Unb0rn
Сообщения: 0
Зарегистрирован: 30 мар 2017, 12:14

Доброго времени суток!
Столкнулся со следующей проблемой:
Есть внутренняя сеть 10.0.2.0/23, которая выходит в интернет через PPPoE через NAT.
Поднял несколько VPN'ов (IPSec Hybrid RSA, IPSec IKEv2 RSA и OpenVPN). IPSec'и берут IP из пулов, принадлежащих той же внутренней подсети (10.0.3.200-10.0.3.250), а OVPN-вообще настроена бриджом.
И здесь появляется проблема. Я могу подключиться с любого клиента-Android,Linux,iOS(Strongswan, OVPN или штатный IKEv1), клиент получает ожидаемый IP, может пропинговать локальную подсеть и даже выйти на гейтвей 10.0.2.1 и на этом-всё. Выйти в интернет оно не может, гуглоднс не пингуются.
Правило NAT настроено как out interface: pppoe-out1. Никаких особых настроек фаервола тоже не предпринималось(стандартные рекомендуемые MikroTik wiki)
Был бы рад любым предположениям и советам. Если нужно экспортировать какие-либо настройки-всегда готов.

И ещё, а что такое Local address в PPP policies для OVPN?
Просто адрес виртуального адаптера? Он должен быть в той же подсети 10.0.2.0 при бриджинге? Не должен совпадать с адресом bridge1(10.0.2.1)?
Заранее спасибо


Unb0rn
Сообщения: 0
Зарегистрирован: 30 мар 2017, 12:14

Пулы адресов:

Код: Выделить всё

/ip pool> print 

 # NAME                                         RANGES                         

 0 dhcp                                         10.0.2.10-10.0.2.199           

 1 ipsec-ikev1                                  10.0.3.175-10.0.3.199         

 2 ovpn                                         10.0.3.225-10.0.3.249         

 3 ipsec-ikev2                                  10.0.3.200-10.0.3.224
 


OVPN Сервер:

Код: Выделить всё

/interface ovpn-server server> print 

                     enabled: yes

                        port: 1194

                        mode: ethernet

                     netmask: 23

                 mac-address: FE:EF:AF:FC:FC:66

                     max-mtu: 1500

           keepalive-timeout: disabled

             default-profile: ovpn

                 certificate: CAcert_wildcard

  require-client-certificate: yes

                        auth: sha1

                      cipher: aes128,aes192,aes256


NAT:

Код: Выделить всё

/ip firewall nat> print 

Flags: X - disabled, I - invalid, D - dynamic

 0    ;;; Default NAT Masquerade rule

      chain=srcnat action=masquerade out-interface=pppoe-out1 log=no

      log-prefix=""



 1 XI  ;;; Hairpin NAT

      chain=srcnat action=masquerade src-address=10.0.2.0/23

      dst-address=10.0.2.245 out-interface=ovpn-bridge log=no log-prefix=""



 2    ;;; NAS

      chain=dstnat action=dst-nat to-addresses=10.0.2.245 to-ports=5000

      protocol=tcp dst-address=88.87.69.78 dst-port=5000 log=no log-prefix=""



PPP Профиль для OVPN

Код: Выделить всё

/ppp profile> print 

Flags: * - default

 0 * name="default" remote-ipv6-prefix-pool=none use-ipv6=yes use-mpls=default

     use-compression=default use-encryption=default only-one=default

     change-tcp-mss=yes use-upnp=default address-list="" on-up="" on-down=""



 1   ;;; OpenVPN Profile

     name="ovpn" local-address=10.0.2.1 remote-address=ovpn

     remote-ipv6-prefix-pool=*0 bridge=ovpn-bridge use-ipv6=yes

     use-mpls=default use-compression=default use-encryption=required

     only-one=default change-tcp-mss=default use-upnp=default address-list=""

     on-up="" on-down=""


Быть может, с этими данными кто-то сможет помочь...


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

https://habrahabr.ru/post/227767/
Возможно, это поможет


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Unb0rn
Сообщения: 0
Зарегистрирован: 30 мар 2017, 12:14

Видел эту статью. Вроде, точно так же сделал, разве только режим у OVPN сервера не L3, а L2. Так же точно стоит srcnat-masquerade через PPPoE. Коннект на OVPN сервер микротика проходит, а наружу трафик не ходит, хоть ты тресни...


Ответить