Форум поддержи и обмена опытом пользователей оборудования RouterBOARD и операционной системы RouterOS Латвийского производителя MikroTik
https://forummikrotik.ru/
Vladimir22 писал(а):а можно глянуть на client-config-dir .ccd
Код: Выделить всё
# Клиентская подсеть за mikrotik (192) и адрес openvpn у роутера (10)
iroute 192.168.88.0 255.255.255.0 10.8.0.1
# Добавим шлюз по умолчанию для машин за микротиком
ifconfig-push 10.8.0.3 10.8.0.1Код: Выделить всё
0 192.168.88.1/24 192.168.88.0 bridge
1 D 10.201.7.18/24 10.201.7.0 ether1
2 D 10.8.0.10/32 10.8.0.1 ovpn-out1Код: Выделить всё
ip route print
0 ADS 0.0.0.0/0 10.201.7.254 1
1 ADS 10.8.0.0/24 10.8.0.1 1
2 ADC 10.8.0.1/32 10.8.0.10 ovpn-out1 0
3 ADC 10.201.7.0/24 10.201.7.18 ether1 0
4 ADC 192.168.88.0/24 192.168.88.1 bridge 0
5 A S 192.168.100.0/24 10.8.0.1 1
Код: Выделить всё
ip route show
default via 188.166.0.1 dev eth0 onlink
10.8.0.0/24 via 10.8.0.2 dev tun0
10.8.0.2 dev tun0 proto kernel scope link src 10.8.0.1
10.18.0.0/16 dev eth0 proto kernel scope link src 10.18.0.5
188.166.0.0/18 dev eth0 proto kernel scope link src 188.166.48.225
192.168.88.0/24 via 10.8.0.2 dev tun0
192.168.100.0/24 via 10.8.0.2 dev tun0 Код: Выделить всё
ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 06:7e:27:b2:92:f0 brd ff:ff:ff:ff:ff:ff
inet 111.222.111.222/18 brd 111.222.63.255 scope global eth0
valid_lft forever preferred_lft forever
inet 10.18.0.5/16 scope global eth0
valid_lft forever preferred_lft forever
inet6 fe80::222e:27ff:f222:92f0/64 scope link
valid_lft forever preferred_lft forever
3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
link/none
inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
valid_lft forever preferred_lft forever
inet6 fe80::f7eb:e806:1a5b:c9e/64 scope link flags 800
valid_lft forever preferred_lft foreverКод: Выделить всё
iptables -L -nv
Chain INPUT (policy ACCEPT 49513 packets, 18M bytes)
pkts bytes target prot opt in out source destination
2128 128K tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 state NEW recent: SET name: DEFAULT side: source mask: 255.255.255.255
0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 state NEW recent: UPDATE seconds: 15 hit_count: 20 name: DEFAULT side: source mask: 255.255.255.255
99 5804 tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 state NEW recent: SET name: DEFAULT side: source mask: 255.255.255.255
0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 state NEW recent: UPDATE seconds: 60 hit_count: 5 name: DEFAULT side: source mask: 255.255.255.255
Chain FORWARD (policy ACCEPT 22 packets, 740 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 46288 packets, 18M bytes)
pkts bytes target prot opt in out source destination
101 16853 DROP icmp -- * * !127.168.169.216 !127.170.191.187 icmptype 3 code 3 connmark match ! 0x3f68c44a
183 7320 DROP tcp -- * * !127.37.59.195 !127.215.179.158 tcp spts:61001:65535 flags:0x04/0x04 connmark match ! 0x61762baa
kt72ru писал(а):покажите вывод команды на Linux sysctl net.ipv4.ip_forward
Код: Выделить всё
net.ipv4.ip_forward = 1kt72ru писал(а):поясните фразу "NAT - маскарад источника - 192.168.88.0/24"
Код: Выделить всё
/ip firewall nat add action=masquerade chain=srcnat masquerade" src-address=192.168.88.0/24kt72ru писал(а):также результат traceroute с ПК в одной подсети до ПК в другой подсети.
Код: Выделить всё
tracert192.168.100.176
Трассировка маршрута к 192.168.100.176 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс router.lan [192.168.88.1]
2 * * * Превышен интервал ожидания для запроса.
3 * * ^Ckt72ru писал(а):чтобы руками не задавать маршруты на микротиках, в конфиге openvpn пропишите
push "route 192.168.88.0 255.255.255.0"
push "route 192.168.100.0 255.255.255.0"
kt72ru писал(а):Если вы выдаете IP и GW абонентам то правильней писать
ifconfig-push 10.8.0.5 10.8.0.6
ifconfig-push 10.8.0.9 10.8.0.10
где 5 и 9 адреса микротиков, а 6 и 10 адреса их шлюзов. Т.е. используем подсети /30.
в файле ccd параметр iroute 192.168.88.0 255.255.255.0 10.8.0.1 неправильно описан, это сеть за текущим клиентом, шлюз указывать не нужно.
/ip firewall nat add action=masquerade chain=srcnat masquerade" src-address=192.168.88.0/24
Код: Выделить всё
push "route 192.168.88.0 255.255.255.0"
push "route 192.168.100.0 255.255.255.0"
Спасибо, уже сделано давно.
Код: Выделить всё
5 A S 192.168.100.0/24 10.8.0.1 1Код: Выделить всё
port 1194
proto tcp
dev tun
ca /etc/openvpn/.keys/ca.crt
cert /etc/openvpn/.keys/DigOceanServer.crt
key /etc/openvpn/.keys/DigOceanServer.key # This file should be kept secret
dh /etc/openvpn/.keys/dh2048.pem
topology subnet
ifconfig 10.8.0.1 255.255.255.0
route 192.168.88.0 255.255.255.0
route 192.168.100.0 255.255.255.0
push "route 192.168.88.0 255.255.255.0"
push "route 192.168.100.0 255.255.255.0"
client-config-dir .ccd
client-to-client
keepalive 10 120
cipher AES-256-CBC # AES
auth sha1
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
log /var/log/openvpn.log
verb 3
Код: Выделить всё
iroute 192.168.88.0 255.255.255.0
ifconfig-push 10.8.0.5 255.255.255.0
Код: Выделить всё
iroute 192.168.100.0 255.255.255.0
ifconfig-push 10.8.0.6 255.255.255.0