Вопросы по VPN
Добавлено: 30 мар 2017, 12:37
Доброго времени суток!
Столкнулся со следующей проблемой:
Есть внутренняя сеть 10.0.2.0/23, которая выходит в интернет через PPPoE через NAT.
Поднял несколько VPN'ов (IPSec Hybrid RSA, IPSec IKEv2 RSA и OpenVPN). IPSec'и берут IP из пулов, принадлежащих той же внутренней подсети (10.0.3.200-10.0.3.250), а OVPN-вообще настроена бриджом.
И здесь появляется проблема. Я могу подключиться с любого клиента-Android,Linux,iOS(Strongswan, OVPN или штатный IKEv1), клиент получает ожидаемый IP, может пропинговать локальную подсеть и даже выйти на гейтвей 10.0.2.1 и на этом-всё. Выйти в интернет оно не может, гуглоднс не пингуются.
Правило NAT настроено как out interface: pppoe-out1. Никаких особых настроек фаервола тоже не предпринималось(стандартные рекомендуемые MikroTik wiki)
Был бы рад любым предположениям и советам. Если нужно экспортировать какие-либо настройки-всегда готов.
И ещё, а что такое Local address в PPP policies для OVPN?
Просто адрес виртуального адаптера? Он должен быть в той же подсети 10.0.2.0 при бриджинге? Не должен совпадать с адресом bridge1(10.0.2.1)?
Заранее спасибо
Столкнулся со следующей проблемой:
Есть внутренняя сеть 10.0.2.0/23, которая выходит в интернет через PPPoE через NAT.
Поднял несколько VPN'ов (IPSec Hybrid RSA, IPSec IKEv2 RSA и OpenVPN). IPSec'и берут IP из пулов, принадлежащих той же внутренней подсети (10.0.3.200-10.0.3.250), а OVPN-вообще настроена бриджом.
И здесь появляется проблема. Я могу подключиться с любого клиента-Android,Linux,iOS(Strongswan, OVPN или штатный IKEv1), клиент получает ожидаемый IP, может пропинговать локальную подсеть и даже выйти на гейтвей 10.0.2.1 и на этом-всё. Выйти в интернет оно не может, гуглоднс не пингуются.
Правило NAT настроено как out interface: pppoe-out1. Никаких особых настроек фаервола тоже не предпринималось(стандартные рекомендуемые MikroTik wiki)
Был бы рад любым предположениям и советам. Если нужно экспортировать какие-либо настройки-всегда готов.
И ещё, а что такое Local address в PPP policies для OVPN?
Просто адрес виртуального адаптера? Он должен быть в той же подсети 10.0.2.0 при бриджинге? Не должен совпадать с адресом bridge1(10.0.2.1)?
Заранее спасибо