интернет через openVPN

Обсуждение ПО и его настройки
Ответить
vitaly
Сообщения: 28
Зарегистрирован: 12 фев 2013, 12:25

10 мар 2013, 19:08

Здравствуйте!

Никак не могу разобратся с openVPN соединением. Все выходные уже потратил. ))
имеется: офис(routeros, openvpn server) и дом (windows openvpn client)
После соединения, могу только увидеть внутренние компы(в офисе), а нужно ещё получить интернет.
т.е. выходить в интернет уже с IP адресом офиса.
С чем разобрался(как я думаю), это с клиентом.
Для того, чтобы увидеть компы в офисе добавляю route:
"route add 192.168.0.0 mask 255.255.0.0 10.10.10.1"
Для выхода в инет добавляю route:
"route add 0.0.0.0 mask 0.0.0.0 10.10.10.1 metric 1"

Какое-то правило нужно добавить на рутере (как я думаю) а именно в NAT.

Но что именно.. ?
сейчас в NATe только одна строка: "chain=srcnat action=masquerade to-addresses=0.0.0.0 out-interface=ether12"


Спасибо!


t332
Сообщения: 94
Зарегистрирован: 21 сен 2012, 00:32

10 мар 2013, 20:12

в firewall разрешить forward для ovpn-клиентов?


vitaly
Сообщения: 28
Зарегистрирован: 12 фев 2013, 12:25

11 мар 2013, 12:06

t332 писал(а):в firewall разрешить forward для ovpn-клиентов?


о.. попробую..


vitaly
Сообщения: 28
Зарегистрирован: 12 фев 2013, 12:25

11 мар 2013, 12:22

vitaly писал(а):
t332 писал(а):в firewall разрешить forward для ovpn-клиентов?


о.. попробую..


К сожалению ничего не поменялось.. Мне кажется, всё таки в NAT нужно что-то добавить..
Знать бы что :)


Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

11 мар 2013, 13:24

наверное на тот интерфейс который смотрит в интернет !?
да еще наверное надо DNS сервера выдавать клиенту


vitaly
Сообщения: 28
Зарегистрирован: 12 фев 2013, 12:25

11 мар 2013, 13:45

Vladimir22 писал(а):наверное на тот интерфейс который смотрит в интернет !?
да еще наверное надо DNS сервера выдавать клиенту


dns думал прописать на клиенте таким образом:
"netsh interface ip set dnd "Local Area Connection" static 192.1681.1"

Читал что в openVPN можно с сервера передать конфигурационные параметры (команда push)
но не нашёл, где можно эти параметры прописать в микротике.


Я правильно понял про NAT ?
/ip firewall nat add chain=dstnat in-interface=ether12 action=accept

PS. нет возможности экспериментировать с сеткой.. (чтобы случайно не оставить людей без интернета)

спасибо!


t332
Сообщения: 94
Зарегистрирован: 21 сен 2012, 00:32

11 мар 2013, 20:55

Я правильно понял про NAT ?
/ip firewall nat add chain=dstnat in-interface=ether12 action=accept


А чего вы пытаетесь этим добиться? В любом случае, к доступу в интернет для клиентов openvpn это точно не имеет отношения.

В nat вам нужно разрешить маскарадинг для локальных и для удаленных клиентов.
В firewall надо разрешить forward для пакетов от удаленных клиентов.

Если в firewall у вас настроен drop каких-то пакетов, поставьте перед этим дропом такое же правило, но только чтобы не drop, а log - и смотрите что где не проходит.


vitaly
Сообщения: 28
Зарегистрирован: 12 фев 2013, 12:25

12 мар 2013, 10:54

t332 писал(а):
Я правильно понял про NAT ?
/ip firewall nat add chain=dstnat in-interface=ether12 action=accept


А чего вы пытаетесь этим добиться? В любом случае, к доступу в интернет для клиентов openvpn это точно не имеет отношения.

В nat вам нужно разрешить маскарадинг для локальных и для удаленных клиентов.
В firewall надо разрешить forward для пакетов от удаленных клиентов.

Если в firewall у вас настроен drop каких-то пакетов, поставьте перед этим дропом такое же правило, но только чтобы не drop, а log - и смотрите что где не проходит.


Задача у меня такая:
Разрешить клиентам openVPN:
1. Заходить и видить во внутренней сетке (офиса) все компы.
2. Обращаться к ним по static DNS (все имена прописаны на рутере)
3. Выходить в интернет под IP офиса.
т.е. чтобы человек мог работать из дома, как из офиса.

Заходить в сетку я могу.. но интернет у меня остается свой (домашний), конечно и static DNS не работает тоже.

С firewallом разберусь.. (временно отключу все правила), потом настрою.
А вот с NAT.. маскарадинг для локальных клиентов настроен..

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether12 to-addresses=0.0.0.0 \
!to-ports

а вот для удаленных клиентов как ?

пробовал добавить такое:

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=dstnat out-interface=ether12

на что рутер ответил:
dstnat chain can not contain masquarade/snat actions


Ответить