интернет через openVPN

[vitaly]

Здравствуйте!

Никак не могу разобратся с openVPN соединением. Все выходные уже потратил. ))
имеется: офис(routeros, openvpn server) и дом (windows openvpn client)
После соединения, могу только увидеть внутренние компы(в офисе), а нужно ещё получить интернет.
т.е. выходить в интернет уже с IP адресом офиса.
С чем разобрался(как я думаю), это с клиентом.
Для того, чтобы увидеть компы в офисе добавляю route:
"route add 192.168.0.0 mask 255.255.0.0 10.10.10.1"
Для выхода в инет добавляю route:
"route add 0.0.0.0 mask 0.0.0.0 10.10.10.1 metric 1"

Какое-то правило нужно добавить на рутере (как я думаю) а именно в NAT.

Но что именно.. ?
сейчас в NATe только одна строка: "chain=srcnat action=masquerade to-addresses=0.0.0.0 out-interface=ether12"


Спасибо!

[t332]

в firewall разрешить forward для ovpn-клиентов?

[vitaly]

в firewall разрешить forward для ovpn-клиентов?

о.. попробую..

[vitaly]

в firewall разрешить forward для ovpn-клиентов?

о.. попробую..

К сожалению ничего не поменялось.. Мне кажется, всё таки в NAT нужно что-то добавить..
Знать бы что

[Vladimir22]

наверное на тот интерфейс который смотрит в интернет !?
да еще наверное надо DNS сервера выдавать клиенту

[vitaly]

наверное на тот интерфейс который смотрит в интернет !?
да еще наверное надо DNS сервера выдавать клиенту

dns думал прописать на клиенте таким образом:
"netsh interface ip set dnd "Local Area Connection" static 192.1681.1"

Читал что в openVPN можно с сервера передать конфигурационные параметры (команда push)
но не нашёл, где можно эти параметры прописать в микротике.


Я правильно понял про NAT ?
/ip firewall nat add chain=dstnat in-interface=ether12 action=accept

PS. нет возможности экспериментировать с сеткой.. (чтобы случайно не оставить людей без интернета)

спасибо!

[t332]

Я правильно понял про NAT ?
/ip firewall nat add chain=dstnat in-interface=ether12 action=accept

А чего вы пытаетесь этим добиться? В любом случае, к доступу в интернет для клиентов openvpn это точно не имеет отношения.

В nat вам нужно разрешить маскарадинг для локальных и для удаленных клиентов.
В firewall надо разрешить forward для пакетов от удаленных клиентов.

Если в firewall у вас настроен drop каких-то пакетов, поставьте перед этим дропом такое же правило, но только чтобы не drop, а log - и смотрите что где не проходит.

[vitaly]

Я правильно понял про NAT ?
/ip firewall nat add chain=dstnat in-interface=ether12 action=accept

А чего вы пытаетесь этим добиться? В любом случае, к доступу в интернет для клиентов openvpn это точно не имеет отношения.

В nat вам нужно разрешить маскарадинг для локальных и для удаленных клиентов.
В firewall надо разрешить forward для пакетов от удаленных клиентов.

Если в firewall у вас настроен drop каких-то пакетов, поставьте перед этим дропом такое же правило, но только чтобы не drop, а log - и смотрите что где не проходит.

Задача у меня такая:
Разрешить клиентам openVPN:
1. Заходить и видить во внутренней сетке (офиса) все компы.
2. Обращаться к ним по static DNS (все имена прописаны на рутере)
3. Выходить в интернет под IP офиса.
т.е. чтобы человек мог работать из дома, как из офиса.

Заходить в сетку я могу.. но интернет у меня остается свой (домашний), конечно и static DNS не работает тоже.

С firewallом разберусь.. (временно отключу все правила), потом настрою.
А вот с NAT.. маскарадинг для локальных клиентов настроен..

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether12 to-addresses=0.0.0.0 \
!to-ports

а вот для удаленных клиентов как ?

пробовал добавить такое:

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=dstnat out-interface=ether12

на что рутер ответил:
dstnat chain can not contain masquarade/snat actions