Подключения удаленного клиента администратора к офису через OpenVPN server на Mikrotik

[vetrov]

Есть вопрос офис сеть 192.168.1.x/24 в ней два маршрутизатора, с той же сетью, 192.168.1.10/24 на
Mikrotik , и Ростелеком с адресом 192.168.1.20/24. ПК так же находятся в той сети 192.168.1.х/24 , распределение, связанно стем, что, одна часть ПК пользует шлюз маршрутизатора для доступа в интернет с одни провайдером, другая часть ПК в той же сети другой шлюз маршрутизатора другого провайдера.
192.168.1.10/24 Mikrotik запущен OpenVPN 10.10.10.1/24, клиент администратор свободно подключается, но может работать только с теми ПК, в которых указа шлюзом Mikrotik 192.168.1.10/24, а те ПК которые используют шлюз Ростелеком 192.168.1.20/24. не доступны
как сделать так что бы было для клиента доступ ко всем ПК 192.168.1.х
Железки должны быть отдельные принцип отказоустойчивости, вариант все на одном микротики не подходит
в качестве эксперимента на ПК с виндой запустил Serv openVPN и после добавления к сетевому подключению сервера в свойствах, доступ, добавил openVPN (общий доступ) то все работает и доступ на все ПК но за минусом до следующей перезагрузки ПК сервера open VPN, затем надо было отвязать от сетевого подключения и заново привязать open VPN. но это скорей всего была использована не серверная платформа.

Задача все сделать на Mikrotik
Пробовал много но все как то мимо
Прошу помощи.

[karton]

По описанию похоже что дело в маршрутах до ВПН сети. ПК получают пакеты с 10.10.10.x и т.к. это не их подсеть, ответы отправляют на свой шлюз, ну и следовательно ПК со шлюзом 192.168.1.10 повезло, а с 192.168.1.20 отправляют ответы на маршрутизатор который ничего не знает о впн сети.
Можно попробовать решить через NAT когда трафик из ВПН при входе в локалку натится на адрес 192.168.1.10, либо на всех ПК добавить маршрут до 10.10.10.x/24 через 192.168.1.10.
Если NAT нельзя сделать из-за необходимости знать ВПН адреса клиентов, а писать маршруты на компах долго, то рассмотрите возможность на втором роутере написать статический маршрут до ВПН сети через первый, тоже сработает, хоть и не удовлетворяет вашему условию по реализации всего на микротике.

[vetrov]

спасибо Всем за терпение проблему нашел, все было значительно проще, проблема в фаерволах на компах, за вторым маршрутизатором, роешь как можно глубже, а оно на поверхности.
маршрут занес в маршрутизатор Ростелеком, к стати Ваш ответ убедил что все делаю правильно и искать надо где то ближе.

[keper84]

Всем привет.

Mikrotik ovpn server
192.168.1.254 - 172.22.22.0/24
192.168.1.0/24

Openwrt ovpn client
192.168.11.1 - 172.22.22.251
192.168.11.0/24

ping from 192.168.11.0/24 to 192.168.1.0/24 - Ok
ping from 192.168.1.0/24 to 192.168.11.0/24 - No
ping from 192.168.1.0/24 to 172.22.22.251 - Ok





Понимаю что нужно прописать маршрут, но где?

[karton]

11.0 к 1.0 идёт, а 1.0 к 11.0 нет? Если по пути нет никаких NAT именно на туннельных интерфейсах, то проблема не в маршрутах. Пинга нет до любого из узлов в 11.0? или только до 11.10?

[keper84]

11.0 к 1.0 идёт, а 1.0 к 11.0 нет? Если по пути нет никаких NAT именно на туннельных интерфейсах, то проблема не в маршрутах. Пинга нет до любого из узлов в 11.0? или только до 11.10?

Да, всё верно. только нет пинга из 1.0/24 к 11.0/24

[karton]

Какие маршруты уже написали? Какие правило NAT есть касающиеся openvpn сети? Просто пинг утилита проверяет связь не в одну сторону, а сразу туда и обратно, то есть чисто из-за маршрутизации не может быть там что в одну сторон пинг есть, а в другую нет. Если представить что на опенврт уже есть NAT в сторону микротика, то можете на микротике написать маршрут что к сети 192.168.1.0/24 идти через 172.22.22.1.

[keper84]

Какие маршруты уже написали? Какие правило NAT есть касающиеся openvpn сети? Просто пинг утилита проверяет связь не в одну сторону, а сразу туда и обратно, то есть чисто из-за маршрутизации не может быть там что в одну сторон пинг есть, а в другую нет. Если представить что на микротике уже есть NAT в сторону опенврт, то можете на опенврт написать маршрут что к сети 192.168.1.0/24 идти через 172.22.22.1.

mikrotik openvpn server

Код: Выделить всё

[keper@gate] > /ip route print
Flags: D - DYNAMIC; A - ACTIVE; c - CONNECT, d - DHCP
Columns: DST-ADDRESS, GATEWAY, ROUTING-TABLE, DISTANCE
    DST-ADDRESS       GATEWAY       ROUTING-TABLE  DISTANCE
DAd 0.0.0.0/0         provGW    main                  1
DAc prov/23     ether1        main                  0
DAc 172.22.22.248/32  <ovpn-komm7>  main                  0
DAc 172.22.22.251/32  <ovpn-keper>  main                  0
DAc 192.168.1.0/24    bridge        main                  0
[keper@gate] > 

openwrt openvpn client

Код: Выделить всё

root@owrt:~# ip r
default via provGW dev wan  src provIP
prov/23 dev wan scope link  src provIP
172.22.22.0/24 dev tun0 scope link  src 172.22.22.251
192.168.1.0/24 via 172.22.22.1 dev tun0
192.168.11.0/24 dev br-lan scope link  src 192.168.11.1
root@owrt:~#

[karton]

Не вижу маршрут на микротике до сети 192.168.11.0/24 вообще, ip route add dst-address=192.168.11.0/24 gateway=172.22.22.251 (убедитесь что адрес openwrt не может измениться, не знаю как у вас он в ppp secret настроен, чтоб не менялся там можно явно local address указать). Видимо пинг в одну сторону у вас работает из-за NAT на стороне openwrt, если не критично то и не трогайте.

[keper84]

Не вижу маршрут на микротике до сети 192.168.11.0/24 вообще, ip route add dst-address=192.168.11.0/24 gateway=172.22.22.251 (убедитесь что адрес openwrt не может измениться, не знаю как у вас он в ppp secret настроен, чтоб не менялся там можно явно local address указать). Видимо пинг в одну сторону у вас работает из-за NAT на стороне openwrt, если не критично то и не трогайте.

Великодушно благодарю! Завелось!!! Спасибо!