Микротик в облаке.

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
vyacheslav.manshin
Сообщения: 8
Зарегистрирован: 20 дек 2018, 19:44

Прошу помочь, в связи с переменами в стране захотелось поднять openvpn server, для подключения с работы, и для выхода в интернет в обход блокировок провайдера. Сначала работал через L2TP пока gre не заблокировал оператор.
И так имеем CHR в облаке, и клиента на винде openvpn. для проверки взял клиентские конфиги корейского openvpn и проверил на компе - работает трафик идет через Корею. Настраиваю свой сервер по инструкции https://wifisystem.ru/docs/mikrotik/ope ... #vpnserver, все конектится , выдает iP как в инструкции. Но инет идет через местного провайдера.
Прописываю маскарадинг srcnat src. address 172.30.0.0/24 на out interface ether1( 172.30.0.0/24 через нат в интернет) Перподключаюсь, ситуация не меняется. Смотрю конфиги корейского клиента

dev tun
proto tcp
remote vpn478722468.opengw.net 995
cipher AES-128-CBC
auth SHA1
resolv-retry infinite
nobind
persist-key
persist-tun
client
verb 3

через него выходит
мои конфиги,

client
dev tun
proto tcp
remote 1.2.3.4. 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
remote-cert-tls server
cipher AES-128-CBC
verb 3

auth-user-pass pass.txt

через мои соединяется но в инет не выходит
2 дня бьюсь не могу понять что надо сделать что бы инет пошел через микротик, везде в примерах соединение офисов, но нигде нет как прописать выход в нет через удаленный шлюз. Пробовал кучу комбинаций routeи маскарадинга, но воз и ныне там....


Аватара пользователя
Kostetyo
Сообщения: 205
Зарегистрирован: 21 окт 2013, 21:52

Если тунель у Вас поднялся и с ним все ок, то трафик с определенных ip Вам надо завернуть в тонель.
Маркируем

Код: Выделить всё

/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=vpn passthrough=yes \
    src-address-list=VPN
    
В адрес лист VPN добавляем ип которые необходимо пустить через тунель
    
    /ip firewall address-list
    	add address=192.168.xxx.xxx disabled=no list=VPN

    И добавляем маршрут
    /ip route
add disabled=yes distance=1 gateway=1.0.0.1 routing-mark=vpn
Где 1.0.0.1 это IP тунеля вашего ВПН со стороны сервера.


vyacheslav.manshin
Сообщения: 8
Зарегистрирован: 20 дек 2018, 19:44

Прописал изменив под свои адреса. Но ситуация в том что винда незнает что в опен впн есть удаленный шлюз...
Так выглядят маршруты винды через корейский VPN
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.111 192.168.0.12 291
0.0.0.0 128.0.0.0 10.211.1.86 10.211.1.85 35
10.211.1.84 255.255.255.252 On-link 10.211.1.85 291
10.211.1.85 255.255.255.255 On-link 10.211.1.85 291
10.211.1.87 255.255.255.255 On-link 10.211.1.85 291
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
128.0.0.0 128.0.0.0 10.211.1.86 10.211.1.85 35
192.168.0.0 255.255.255.0 On-link 192.168.0.12 291
192.168.0.12 255.255.255.255 On-link 192.168.0.12 291
192.168.0.255 255.255.255.255 On-link 192.168.0.12 291
192.168.1.0 255.255.255.0 On-link 192.168.0.12 291
192.168.1.12 255.255.255.255 On-link 192.168.0.12 291
192.168.1.255 255.255.255.255 On-link 192.168.0.12 291
192.168.4.0 255.255.255.0 On-link 192.168.0.12 291
192.168.4.12 255.255.255.255 On-link 192.168.0.12 291
192.168.4.255 255.255.255.255 On-link 192.168.0.12 291
192.168.56.0 255.255.255.0 On-link 192.168.56.1 281
192.168.56.1 255.255.255.255 On-link 192.168.56.1 281
192.168.56.255 255.255.255.255 On-link 192.168.56.1 281
220.92.184.38 255.255.255.255 192.168.0.111 192.168.0.12 35
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.56.1 281
224.0.0.0 240.0.0.0 On-link 192.168.0.12 291
224.0.0.0 240.0.0.0 On-link 10.211.1.85 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.56.1 281
255.255.255.255 255.255.255.255 On-link 192.168.0.12 291
255.255.255.255 255.255.255.255 On-link 10.211.1.85 291

а так выглядят когда подключаюсь к микротику
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.111 192.168.0.12 291
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
172.30.0.0 255.255.255.0 On-link 172.30.0.252 291
172.30.0.252 255.255.255.255 On-link 172.30.0.252 291
172.30.0.255 255.255.255.255 On-link 172.30.0.252 291
192.168.0.0 255.255.255.0 On-link 192.168.0.12 291
192.168.0.12 255.255.255.255 On-link 192.168.0.12 291
192.168.0.255 255.255.255.255 On-link 192.168.0.12 291
192.168.1.0 255.255.255.0 On-link 192.168.0.12 291
192.168.1.12 255.255.255.255 On-link 192.168.0.12 291
192.168.1.255 255.255.255.255 On-link 192.168.0.12 291
192.168.4.0 255.255.255.0 On-link 192.168.0.12 291
192.168.4.12 255.255.255.255 On-link 192.168.0.12 291
192.168.4.255 255.255.255.255 On-link 192.168.0.12 291
192.168.56.0 255.255.255.0 On-link 192.168.56.1 281
192.168.56.1 255.255.255.255 On-link 192.168.56.1 281
192.168.56.255 255.255.255.255 On-link 192.168.56.1 281
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.56.1 281
224.0.0.0 240.0.0.0 On-link 192.168.0.12 291
224.0.0.0 240.0.0.0 On-link 172.30.0.252 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.56.1 281
255.255.255.255 255.255.255.255 On-link 192.168.0.12 291
255.255.255.255 255.255.255.255 On-link 172.30.0.252 291


vyacheslav.manshin
Сообщения: 8
Зарегистрирован: 20 дек 2018, 19:44

Да... Походу микротик под такие вещи не заточен... Придется на линуксе подумать...


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Да винда-то тут при чём? Неча на зеркало пенять, коли...
Предположительно, что нам нужно ходить на несколько адресов через туннель. Заносим их в адрес-лист Zapret

Код: Выделить всё

/ip firewall address-list
add address=flibusta.is list=Zapret
add address=lib.rus.ec list=Zapret
add address=lurkmore.to list=Zapret
add address=absurdopedia.net list=Zapret
add address=rutracker.org list=Zapret
add address=2ip.ru list=Zapret
add address=speedtest.net list=Zapret
Маркируем маршруты до этих адресов

Код: Выделить всё

/ip firewall mangle
add action=mark-routing chain=prerouting comment=vpn_rout dst-address-list=Zapret new-routing-mark=vpn_rout passthrough=yes
Прописываем маршруты у нас на роутере

Код: Выделить всё

/ip route
add comment=Zapret_address distance=1 gateway=10.9.0.1 routing-mark=vpn_rout
Ну и напоследок, как всегда занатим список адресов нашей локалки My user относительно туннеля

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat dst-address-list=Zapret out-interface=ovpn-out-vmium src-address-list="My user"
На CHR тоже сделать nat или прописать маршруты, это уж по желанию. Настройки клиента брал с реального маршрутизатора, работает, и не жужжит уж скоро год как. Сервером служит VDS с Debian, но суть остаётся одна.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
vyacheslav.manshin
Сообщения: 8
Зарегистрирован: 20 дек 2018, 19:44

Да не сомневаюсь что знаний не хватает, но как то замудрено. в LPTP, намного проще.... Ведь надо то всего что бы клиенту, микротик указал через какой маршрут ходить, судя по корейским конфигам это делает DCHP...


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

И тут не менее просто. Надо лишь понять.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
vyacheslav.manshin
Сообщения: 8
Зарегистрирован: 20 дек 2018, 19:44

Нашел тут же на форуме -"Ну насколько мне известно передавать маршруты только OVPN умеет. В Микротике у OVPN такой фишки нет, обещают внедрить в 7-ой версии" теперь понятно почему все мои попытки настроить роутинга у клиента средствами микротика тчетны. Сейчас пока мучаю линукс, но как то все монстрообразно получается. На микротике все таки покрасивей... Може кто ткнет в мануал где описывается как настроить openvpn сервер с выходом в инет через микротик. если клиент винда или ddwrt ОФИСЫ МНЕ СОЕДИНЯТЬ НЕ НАДО! )))))))))))))))


vyacheslav.manshin
Сообщения: 8
Зарегистрирован: 20 дек 2018, 19:44

podarok66 писал(а): 22 дек 2018, 21:57 И тут не менее просто. Надо лишь понять.
Я в принципе понял, еще вчера как вот только это на холсте выразить....
В общем поставил pritunl за три минуты и все завелось https://itldc.com/blog/svoj-vpn-server- ... m-pritunl/


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

vyacheslav.manshin писал(а): 22 дек 2018, 22:54 В общем поставил pritunl за три минуты и все завелось https://itldc.com/blog/svoj-vpn-server- ... m-pritunl/
Клиентские настройки где выполнили? На Микротике или на машинах?


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Ответить