Коллеги, приветствую Вас. Есть ситуация следующего плана:
Имеется Микротик RB952Ui-5ac2nD. Настроено все по мануалам найденным на данном форуме. А именно в 1-й порт воткнут провайдер, Ростелеком, статический IP, шлюз, ДНСники. Остальные порты объединены в bridge. Создана сеть по этому бриджу вида 192.168.1.*. Поднят DHCP работающий на данную сеть. С головного сервера взяты сертификаты и ключ. Импортированы. В PPP создано соединение OpenVPN Client с использованием данных сертификатов. Соединение устанавливается. Создано правило маскарада без указания интерфейса Out. Все начинает работать. ВПН доступна, ресурсы все доступны. Интернет работает. Спустя минут 7-10 происходит следующее....на сайты не зайти. На ресурсы ВПН не зайти, хотя все пингуется. И Удаленная сеть с которой установлено ВПН соединение и любой сайт в интернете. Но однако сайты перестают открываться, ресурсы удаленной сети тоже становятся недоступными. Прошу помочь. Где еще что можно посмотреть???
Микротик RB952Ui-5ac2nD и OpenVPN
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
vitmalyshev
- Сообщения: 3
- Зарегистрирован: 25 авг 2018, 08:28
Хочу добавить....по маскараду ставишь Out интерфейс порт на котором висит провайдер - Инет начинает работать, ВПН сеть недоступна.
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Маскарадинга без указания "Out-interface" быть не должно.
Это получится что вы не только подставляете адрес роутера в качестве источника для исходящих в интернет запросов.
Но и наоборот - для всего, что у вас внутри сети, всё что приходит из интернета будет выглядеть, как-будто оно пришло от роутера.
Так что маскарадинг оставьте как положено.
А для доступа к ресурсам за туннелем нужно маршрут прописать в IP --> Routes.
Это получится что вы не только подставляете адрес роутера в качестве источника для исходящих в интернет запросов.
Но и наоборот - для всего, что у вас внутри сети, всё что приходит из интернета будет выглядеть, как-будто оно пришло от роутера.
Так что маскарадинг оставьте как положено.
А для доступа к ресурсам за туннелем нужно маршрут прописать в IP --> Routes.
Telegram: @thexvo
-
vitmalyshev
- Сообщения: 3
- Зарегистрирован: 25 авг 2018, 08:28
Смотрите что в файле конфигурации...xvo писал(а): ↑25 авг 2018, 12:42 Маскарадинга без указания "Out-interface" быть не должно.
Это получится что вы не только подставляете адрес роутера в качестве источника для исходящих в интернет запросов.
Но и наоборот - для всего, что у вас внутри сети, всё что приходит из интернета будет выглядеть, как-будто оно пришло от роутера.
Так что маскарадинг оставьте как положено.
А для доступа к ресурсам за туннелем нужно маршрут прописать в IP --> Routes.
# model = RouterBOARD 952Ui-5ac2nD
# serial number = 924908226FC9
/interface bridge
add name=bridge1
/interface ovpn-client
add certificate=askona_cert.crt_0 cipher=aes128 connect-to=*.*.*.* \
mac-address=02:EB:04:42:97:EF name=ovpn-out1 password=password user=\
askona
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
management-protection=allowed mode=dynamic-keys name=profile1 \
supplicant-identity="" wpa-pre-shared-key=dsr500n2014 \
wpa2-pre-shared-key=dsr500n2014
/interface wireless
set [ find default-name=wlan1 ] disabled=no mode=ap-bridge security-profile=\
profile1 ssid=askona.ru
set [ find default-name=wlan2 ] disabled=no mode=station-pseudobridge \
security-profile=profile1 ssid=askona.ru
/ip pool
add name=dhcp_pool1 ranges=192.168.88.2-192.168.88.254
add name=dhcp_pool2 ranges=192.168.88.2-192.168.88.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge1 name=dhcp1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=wlan2
/ip address
add address=192.168.88.1/24 interface=bridge1 network=192.168.88.0
add address=212.58.199.254/30 interface=ether1 network=212.58.199.252
/ip dhcp-server network
add address=192.168.88.0/24 dns-server=192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=212.58.192.12,212.58.192.18
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall nat
add action=masquerade chain=srcnat
add action=dst-nat chain=dstnat protocol=tcp to-addresses=192.168.88.251 \
to-ports=5555
/ip route
add distance=1 gateway=212.58.199.*
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Посмотрел.
Маскарадинг вы не поправили.
Маршрут до удаленной подсети не прописывали.
Что я там должен увидеть?
Маскарадинг вы не поправили.
Маршрут до удаленной подсети не прописывали.
Что я там должен увидеть?
Telegram: @thexvo