Объединение двух сетей через OpenVPN (mikrotik client)

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
andrey.vasilenko
Сообщения: 3
Зарегистрирован: 03 июл 2018, 23:42

Добрый день,
"Курил" недели три мануалы, примеры и т.д, но так и не могу объединить две сети через OVPN.
До этого было два роутера на tomatousb, где легко и просто все настраивалось, имел доступ к устройствам за клиентом.

Сейчас имеется две сети:
1. 192.168.10.0/24 - tomatousb server
2. 192.168.1.0/24 - mikrotik client
между ними поднят ovpn 10.8.0.0/24

Вопрос, как мне настроить NAT и firewall, чтобы он меня из vpn спокойно пускал к ресурсам сети клиента?

Настройки сервера:

Код: Выделить всё

# Automatically generated configuration
daemon
server 10.8.0.0 255.255.255.0
proto tcp-server
port 1194
dev tun21
cipher AES-128-CBC
keepalive 15 60
verb 3
plugin /lib/openvpn_plugin_auth_nvram.so vpn_server1_users_val
script-security 2
username-as-common-name
push "dhcp-option DNS 192.168.10.1"
status-version 2
status status

# Custom Configuration
ifconfig 10.8.0.1 255.255.255.0
route 192.168.1.0 255.255.255.0
push "route 192.168.10.0 255.255.255.0" # say lan to other (push lan to client)
push "route 192.168.1.0 255.255.255.0"

client-to-client
push "redirect-gateway df1" # allow to acess to lan thought vpn
duplicate-cn

ca /mnt/sdb1/cert/ca.crt
cert /mnt/sdb1/cert/server.crt
key /mnt/sdb1/cert/server.key
dh /mnt/sdb1/cert/dh2048.pem
Роуты сервера

Код: Выделить всё

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
176.15.192.1    *               255.255.255.255 UH    0      0        0 vlan2
10.8.0.2        *               255.255.255.255 UH    0      0        0 tun21
192.168.10.0    *               255.255.255.0   U     0      0        0 br0
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun21
192.168.1.0     10.8.0.2        255.255.255.0   UG    0      0        0 tun21
176.15.192.0    *               255.255.240.0   U     0      0        0 vlan2
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
default         176.15.192.1    0.0.0.0         UG    0      0        0 vlan2
Схема сети

Изображение


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Вот такой был конфиг у меня на Debian 8 , пока РКН не закрыла весь диапазон адресов на DigitalOcean

Код: Выделить всё

port 1194
proto tcp
dev tun
ca /etc/openvpn/.keys/ca.crt
cert /etc/openvpn/.keys/DigOceanServer.crt
key /etc/openvpn/.keys/DigOceanServer.key  # This file should be kept secret
dh /etc/openvpn/.keys/dh2048.pem
server 10.10.0.0 255.255.255.0
route 192.168.88.0 255.255.255.0  # Маршрут писал для каждой из подсетей
route 192.168.100.0 255.255.255.0  #Было несколько туннелей
route 192.168.101.0 255.255.255.0  #Требовалось получить доступ из сети в сеть
push "route 192.168.88.0 255.255.255.0"   #Используя промежуточный сервер
push "route 192.168.100.0 255.255.255.0"  #В итоге всё вышло вот в таком виде
push "route 192.168.101.0 255.255.255.0"  #Можно оставить только одну сеть, если туннель один
client-config-dir .ccd
client-to-client
keepalive 10 120
cipher AES-256-CBC   # AES
auth sha1
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
log  /var/log/openvpn.log
verb 3
Ну там еще клиентские настройки в директории .ccd, но там буквально пара строк про маршруты. Типа такого для каждого из клиентов

Код: Выделить всё

iroute 192.168.88.0 255.255.255.0
ifconfig-push 10.10.0.10 10.10.0.9
На Микротике тоже минимум настроек

Код: Выделить всё

/interface ovpn-client
add certificate=dig.crt_0 cipher=aes256 connect-to=xxx.xxx.xxx.xxx  name=DigO user=dig
/ppp secret
add name=dig profile=ovpn service=ovpn
/ppp profile
add name=ovpn
Поосторожнее с топологией сабнет. У меня она работает на новых серверах, а вот на старых не работала. Истинную причину так и не обнаружил. Плюнул и не стал копать глубже.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
andrey.vasilenko
Сообщения: 3
Зарегистрирован: 03 июл 2018, 23:42

Привет,
Настройки vpn на сервер и на микротике сделал, аналогичные. Может я не правильно выразился.
Мне надо, чтобы когда я прихожу через OVPN на микротик я мог попасть в подсеть за микротиком, все входящие с VPN открыты.
Сейчас временно сделал проброс нужных мне портов, но это не удобно.
podarok66 писал(а): 05 июл 2018, 19:39 Вот такой был конфиг у меня на Debian 8 , пока РКН не закрыла весь диапазон адресов на DigitalOcean

Код: Выделить всё

port 1194
proto tcp
dev tun
ca /etc/openvpn/.keys/ca.crt
cert /etc/openvpn/.keys/DigOceanServer.crt
key /etc/openvpn/.keys/DigOceanServer.key  # This file should be kept secret
dh /etc/openvpn/.keys/dh2048.pem
server 10.10.0.0 255.255.255.0
route 192.168.88.0 255.255.255.0  # Маршрут писал для каждой из подсетей
route 192.168.100.0 255.255.255.0  #Было несколько туннелей
route 192.168.101.0 255.255.255.0  #Требовалось получить доступ из сети в сеть
push "route 192.168.88.0 255.255.255.0"   #Используя промежуточный сервер
push "route 192.168.100.0 255.255.255.0"  #В итоге всё вышло вот в таком виде
push "route 192.168.101.0 255.255.255.0"  #Можно оставить только одну сеть, если туннель один
client-config-dir .ccd
client-to-client
keepalive 10 120
cipher AES-256-CBC   # AES
auth sha1
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
log  /var/log/openvpn.log
verb 3
Ну там еще клиентские настройки в директории .ccd, но там буквально пара строк про маршруты. Типа такого для каждого из клиентов

Код: Выделить всё

iroute 192.168.88.0 255.255.255.0
ifconfig-push 10.10.0.10 10.10.0.9
На Микротике тоже минимум настроек

Код: Выделить всё

/interface ovpn-client
add certificate=dig.crt_0 cipher=aes256 connect-to=xxx.xxx.xxx.xxx  name=DigO user=dig
/ppp secret
add name=dig profile=ovpn service=ovpn
/ppp profile
add name=ovpn
Поосторожнее с топологией сабнет. У меня она работает на новых серверах, а вот на старых не работала. Истинную причину так и не обнаружил. Плюнул и не стал копать глубже.


Ответить