TgVPN не работает, нужна помощь

[efim]

Здравствуйте, поиск по форуму по запросу TgVPN ничего не дал. Прошу помощи.

Входные данные.
Роутер MikroTik RB951Ui-2HnD, последняя версия прошивки, настройки дефолтные, подключен к интернет от МТС через PPPoE, раздает Wi-Fi. Все работает

Задача
Раздавать интернет через OpenVPN от TgVPN

Делаю все по инструкции от TgVPN. Добавляю сертификаты, настраиваю интерфейс OVPN client. Status connected. Но трафик через VPN не идет. В инструкции написано:

Код: Выделить всё

Чтобы настроить Mikrotik в качестве VPN-роутера, который будет раздавать VPN-подключение на несколько устройств, выполните эти действия.
Подразумевается, что ваш роутер уже имеет базовые настройки, версию RouterOS не ниже 6.40 и раздаёт интернет.

1. Сохраните на компьютер файлы с ключами, которые выше прислал бот.
2. Загрузите файлы на Mikrotik. Для этого откройте меню Files в Winbox и просто перетащите их мышкой.
3. Откройте New Terminal в Winbox и скопируйте туда эти команды:

/certificate import file-name=key.ca

/certificate import file-name=key.cert

/certificate import file-name=key.key

/interface ovpn-client add name="TgVPN" \
connect-to=sg.lopata.today port=8080 \
user=7777777 password=7777777 disabled=no \
profile=default-encryption certificate=key.cert_0 \
add-default-route=yes cipher=aes256 auth=sha1

:delay 2

/ip firewall nat add chain=srcnat \
out-interface=TgVPN action=masquerade

4.  Если на вашем Mikrotik прописаны статические настройки, то необходимо изменить route distance на «2», чтобы маршрут на OpenVPN-соединение был приоритетным. Если роутер получает настройки автоматически, то пропишите команду:

/ip dhcp-client set numbers=0 default-route-distance=2

С этого момента ваш Mikrotik должен раздавать интернет через VPN-соединение.

Так же важно настроить Mikrotik на наш DNS-сервер, чтобы избежать DNS-leak.
Подробнее об этом в инструкции: https://help.tgvpn.com/ru/setup/openvpn_mikrotik

Похоже я делаю что-то не так после :delay 2. Подскажите пожалуйста.

[efim]

Похоже что-то с маршрутами, но я не понимаю что именно((

[KARaS'b]

Варианта два.
Первый это поиграть с маршрутами, а именно, прописав маршрут до ovpn севера через шлюз провайдера, иначе тоннель подниматься не будет, а дефолт. маршрут уже через тоннель.
Второй, не совсем правильный и чаще применимый, когда нужно завернуть только отдельные хосты и или только до отдельных адресов в инете через тоннель, но он гораздо проще. Создаете адреслист, куда добавляете все хосты лок. сети, которые должны ходить в инет через тоннель, дальше в мангле помечаете их в цепочке прероутинг, на основе этого адреслиста и уже потом в маршрутах создаете еще один дефолтный маршрут, с неважно каким дистансом, но который будет работать на основе этой метки и все, все устройства из адреслиста будут ходить в инет через ваш тоннель.
Для примера, на основе второго способа:
Сеть 192.168.88.0/24, микротик с адресом 192.168.88.1, тоннель имеет имя VPN, все кроме самого микротика должно ходить в интернет через впн, тогда:

Код: Выделить всё

/ip firewall address-list
add address=192.168.88.2-192.168.88.254 list=tovpn
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=MarkToVPN passthrough=no src-address-list=tovpn
/ip route
add distance=1 gateway=VPN routing-mark=MarkToVPN

З.Ы, второй вариант проще, но больше нагружает ваше устройство.

[efim]

В ответ на последнюю команду роутер ругается

Код: Выделить всё

> /ip route add distance=1 gateway=VPN routing-mark=MarkToVPN
invalid value for argument gw:
    invalid value for argument address
    input does not match any value of interface
    invalid value for argum

P.S. с командой разобрался, исправил VPN на название интерфейса, но в итоге интернет пропал. Прикладываю скриншот таблицы Routes

[KARaS'b]

Я же написал, данные команды только пример. Если ваше VPN подключение (интерфейс) имеет иное название, то либо заменить его в команде, либо измените само название подключения на такое, как в команде, при этом в обоих случаях соблюдайте регистр. Именно на название шлюза, а в вашем случае, на название vpn соединения и ругается ваша железка, так как не видит оного.

З.Ы. Никогда не выполняйте найденные вами строки команд бездумно, однажды можете очень сильно напороться, большинство представленных здесь, или на просторах интернета, примеров не подойдут для вас, а точнее для тупого копипаста, т.к переменные\имена интерфейсов\иные параметры, будут отличаться от ваших. Микротик это не домашний "днолинк", где нужно по указке тупо натыкать галочек, тут это не прокатывает. Для пример, только сегодня уже нашелся человек, который прочитал не всю ветку форума, а только ту часть, что содержала команды и забил эти команды, не думая, в свое устройство, после чего потерял доступ к нему, т.к. команды содержали только примерные параметр и скорее всего, тому человеку придется все выполнить сброс настроек и все начать с самого начала. Если для вас это составляет какие-то сложности, если вы не можете, или не хотите учится и понимать данное оборудование, то лучше продайте его и купите более "узерфрендли" устройство, вам так будет проще.

[efim]

Я же написал, данные команды только пример. Если ваше VPN подключение (интерфейс) имеет иное название, то либо заменить его в команде, либо измените само название подключения на такое, как в команде, при этом в обоих случаях соблюдайте регистр. Именно на название шлюза, а в вашем случае, на название vpn соединения и ругается ваша железка, так как не видит оного.

Выше отредактировал сообщение...

[KARaS'b]

Проверьте, что у вас натятся обращения через ваш впн. Скорее всего этого не происходит и правило ната отрабатывает только для интерфейса который смотрит в сторону провайдера.

[efim]

Проверьте, что у вас натятся обращения через ваш впн. Скорее всего этого не происходит и правило ната отрабатывает только для интерфейса который смотрит в сторону провайдера.

Вот если честно, это для меня темный лес. Когда создавал тему, думал будет простое решение в пару строк. Похоже придется разбираться в маршрутизации...

[efim]

З.Ы. Никогда не выполняйте найденные вами строки команд бездумно, однажды можете очень сильно напороться, большинство представленных здесь, или на просторах интернета, примеров не подойдут для вас, а точнее для тупого копипаста, т.к переменные\имена интерфейсов\иные параметры, будут отличаться от ваших. Микротик это не домашний "днолинк", где нужно по указке тупо натыкать галочек, тут это не прокатывает. Для пример, только сегодня уже нашелся человек, который прочитал не всю ветку форума, а только ту часть, что содержала команды и забил эти команды, не думая, в свое устройство, после чего потерял доступ к нему, т.к. команды содержали только примерные параметр и скорее всего, тому человеку придется все выполнить сброс настроек и все начать с самого начала. Если для вас это составляет какие-то сложности, если вы не можете, или не хотите учится и понимать данное оборудование, то лучше продайте его и купите более "узерфрендли" устройство, вам так будет проще.

Покупал роутер по принципу надежный и с мощной вафлей. По образованию инженер-программист, но тут свой мирок оказалось, думаю разберусь в конце концов, вопрос лишь времени. Сделал бэкап, эксперементирую, если не нравится, откатываю назад.

[KARaS'b]

Вот если честно, это для меня темный лес. Когда создавал тему, думал будет простое решение в пару строк. Похоже придется разбираться в маршрутизации...

Прочитайте шапку и выполните пункт 5, иначе можно будет очень долго гадать.