Обратный маршрут

Обсуждение ПО и его настройки
Ответить
4463398
Сообщения: 4
Зарегистрирован: 29 мар 2024, 08:04

Добрый день. Ситуация такая. Имеется роутер mikrotik. у него белый ip. К нему должны подключаться клиенты windows OVPN. На микротике сервер настроил. Клиент из вне подключился. Видит сеть за mikrotik. Обратиться к ресурсам может. С этой частью все хорошо.

Вторая задача такова. Мне в локальной сети mikrotik и для других подключившихся клиентов, надо попасть в сеть за определенным клиентом OVPN (10.0.0.10. этот ип присваивается этому клиенту). Каким образом это можно реализовать. Какой маршрут указать? Конфиг клиента ниже. Сервер на микротике. Могу предоставить необходимы скрины. Пробовал сделать IP-ROUTES маршрут. Скрин ниже, но не помогло( Подскажите пжл что именно не так делаю.

Изображение

Изображение

Конфиг клиента windows

client
dev tun
proto tcp
remote *1.2**.31.1** 1194
;remote-random
resolv-retry infinite
nobind
;user nobody
;group nobody
persist-key
persist-tun
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
;mute-replay-warnings
pkcs12 c:\\Users\\server\\OpenVPN\\config\\cert_export_ra.p12
auth-user-pass c:\\Users\\server\\OpenVPN\\config\\auth.cfg
askpass c:\\Users\\server\\OpenVPN\\config\\keypass.cfg
remote-cert-tls server
route 192.168.88.0 255.255.255.0 10.0.0.1
cipher AES-256-CBC
verb 3
;mute 20


svetogor82
Сообщения: 192
Зарегистрирован: 17 апр 2014, 10:44

для начала обновите mikrotik (если память не изменяет в нет косяки были с openvpn)


svetogor82
Сообщения: 192
Зарегистрирован: 17 апр 2014, 10:44

предоставить вывод команды export compact
маршруты должны быть прописаны с двух сторон
второе устройство должно быть шлюзов в своей локальной сети


4463398
Сообщения: 4
Зарегистрирован: 29 мар 2024, 08:04

svetogor82 писал(а): 29 мар 2024, 09:33 предоставить вывод команды export compact
маршруты должны быть прописаны с двух сторон
второе устройство должно быть шлюзов в своей локальной сети

А если второе устройство не является шлюзом, то не получится? Если не получится, то меня бы устроил вариант с тем, что я смогу заходить на этот клиент OVPN (10.0.0.10) по внутреннему IP. (Т.е. у меня жесткая привязка к внутреннему ip. Он прописан в ПО. Внутри локалки норм работает, но теперь надо еще и через ВПН видеть этот локальный адрес). Маршрут прописан в обе стороны. С удаленной машины вижу сеть за микротиком. Захожу на ресурсы. Работает. А вот в обратном направлении пинги только до 10.0.0.10. Через локальный адрес 192.168.0.4 зайти не могу((



(1146 messages not shown)
mar/29/2024 13:43:02 system,error,critical login failure for user admin from 91.228.64.59 via telnet
mar/29/2024 13:43:03 system,error,critical login failure for user root from 91.228.64.59 via telnet
mar/29/2024 13:54:56 ovpn,debug,error,,,,,,,,,l2tp,info,,debug,,,critical,,,,,,,,,,,,,warning duplicate packet, dropping
mar/29/2024 13:56:31 ovpn,debug,error,,,,,,,,,l2tp,info,,debug,,,critical,,,,,,,,,,,,,warning duplicate packet, dropping
mar/29/2024 14:03:15 ovpn,debug,error,,,,,,,,,l2tp,info,,debug,,,critical,,,,,,,,,,,,,warning duplicate packet, dropping
mar/29/2024 14:03:22 ovpn,debug,error,,,,,,,,,l2tp,info,,debug,,,critical,,,,,,,,,,,,,warning duplicate packet, dropping
mar/29/2024 14:03:28 ovpn,debug,error,,,,,,,,,l2tp,info,,debug,,,critical,,,,,,,,,,,,,warning duplicate packet, dropping
mar/29/2024 14:03:37 ovpn,debug,error,,,,,,,,,l2tp,info,,debug,,,critical,,,,,,,,,,,,,warning duplicate packet, dropping
[admin@MikroTik] > export compact
# mar/29/2024 14:09:57 by RouterOS 6.45.9
# software id = 6ZNC-IQC7
#
# model = RB952Ui-5ac2nD
# serial number = CC3E0C5D499A
/interface bridge
add admin-mac=48:8F:5A:FE:44:C7 auto-mac=no comment=defconf name=bridge
/interface ovpn-server
add name=jovpn user=jjjj
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 password=ddef95be use-peer-dns=yes user=d49100114
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=0 band=2ghz-onlyn country=russia3 distance=indoors installation=indoor mode=ap-bridge ssid=dlink24 wireless-protocol=802.11
set [ find default-name=wlan2 ] antenna-gain=0 band=5ghz-onlyn country=russia3 distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=dlink5 wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk group-key-update=40m mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=wifipass wpa2-pre-shared-key=wifipass
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec policy group
add name=ipsecgroup1
/ip ipsec profile
set [ find default=yes ] enc-algorithm=aes-256,aes-128,3des
/ip pool
add name=dhcp ranges=192.168.88.100-192.168.88.254
add name=ovpn-pool ranges=10.0.0.11-10.0.0.50
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/ppp profile
add dns-server=192.168.88.1,8.8.8.8 local-address=192.168.88.1 name=bk_vpn remote-address=ovpn-pool
add local-address=192.168.88.1 name=ovpn remote-address=10.0.0.1
/user group
add name=FTP policy=ftp,read,write,web,!local,!telnet,!ssh,!reboot,!policy,!test,!winbox,!password,!sniff,!sensitive,!api,!romon,!dude,!tikapp
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set authentication=mschap2 default-profile=bk_vpn ipsec-secret=xxx%2024 use-ipsec=yes
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
/interface ovpn-server server
set auth=sha1 certificate=ovpn-server cipher=aes256 default-profile=ovpn enabled=yes require-client-certificate=yes
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=accept chain=input disabled=yes port=1701,500,4500 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input disabled=yes dst-port=21 protocol=tcp
add action=accept chain=input comment=ftp disabled=yes dst-port=1899 in-interface-list=all protocol=tcp
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=accept chain=input comment=OVPN dst-port=1194 protocol=tcp
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat dst-address=9x.2xx.x1.xx4 dst-port=21 protocol=tcp to-addresses=192.168.88.4 to-ports=21
add action=masquerade chain=srcnat comment="!!!!>B:;NG8; 4;O \?@>25@:8 DB\? =>2>3>" disabled=yes dst-address=192.168.88.3 dst-port=21 protocol=tcp
add action=dst-nat chain=dstnat disabled=yes dst-port=80 protocol=tcp to-addresses=192.168.88.111 to-ports=80
add action=dst-nat chain=dstnat dst-address=9x.2xx.x1.xx4 dst-port=8088 protocol=tcp to-addresses=192.168.88.181 to-ports=80
add action=dst-nat chain=dstnat dst-address=9x.2xx.x1.xx4 dst-port=8080 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.88.10 to-ports=80
add action=dst-nat chain=dstnat disabled=yes dst-address=9x.2xx.x1.xx4 dst-port=443 protocol=tcp to-addresses=192.168.88.88 to-ports=443
add action=src-nat chain=srcnat disabled=yes dst-address=192.168.88.88 dst-port=443 protocol=tcp to-addresses=192.168.88.1
add action=dst-nat chain=dstnat disabled=yes dst-address=9x.2xx.x1.xx4 dst-port=1194 protocol=udp to-addresses=192.168.88.184 to-ports=1194
add action=dst-nat chain=dstnat disabled=yes dst-port=25333 protocol=tcp to-addresses=192.168.88.111 to-ports=22
/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=10.0.0.10
/ip service
set ftp disabled=yes
/ppp secret
add disabled=yes name=userovpnNatalya password=xxxuserovpnN profile=bk_vpn service=l2tp
add disabled=yes name=jjjj2024 password=xxxjjjj2024 profile=bk_vpn remote-address=10.0.0.10 service=l2tp
add name=userovpn password=passwordpas profile=ovpn service=ovpn
add name=jjjj password=passwordpas profile=ovpn remote-address=10.0.0.10 service=ovpn
/system clock
set time-zone-name=Asia/Novosibirsk
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN


4463398
Сообщения: 4
Зарегистрирован: 29 мар 2024, 08:04

Пробовал явно указать локальный адрес в профиле пользователя. В таком случае пинги идут, но обратиться например к апачу на этом адресе не могу. 192.168.0.4:80 не работает. Порты разные делал. Дело не в номере порта

Изображение


4463398
Сообщения: 4
Зарегистрирован: 29 мар 2024, 08:04

svetogor82 писал(а): 29 мар 2024, 09:30 для начала обновите mikrotik (если память не изменяет в нет косяки были с openvpn)
Current Firmware 6.45.9

Больше не обновляется. Изначально на ней настраивал


svetogor82
Сообщения: 192
Зарегистрирован: 17 апр 2014, 10:44

4463398 писал(а): 29 мар 2024, 16:27
svetogor82 писал(а): 29 мар 2024, 09:30 для начала обновите mikrotik (если память не изменяет в нет косяки были с openvpn)
Current Firmware 6.45.9

Больше не обновляется. Изначально на ней настраивал
у вас он должен обновиться до версии 6.49.13


svetogor82
Сообщения: 192
Зарегистрирован: 17 апр 2014, 10:44

вы из локальной сети должны пинговать 10.0.0.10
если пинг не идет я бы по пробовал удалил бы remote-address=10.0.0.1
и делал пустой bige с адресом 10.0.0.1/24


Ответить