Russian Users MikroTik | Форум пользователей MikroTik

Доброго времени суток!
Столкнулся со следующей проблемой:
Есть внутренняя сеть 10.0.2.0/23, которая выходит в интернет через PPPoE через NAT.
Поднял несколько VPN'ов (IPSec Hybrid RSA, IPSec IKEv2 RSA и OpenVPN). IPSec'и берут IP из пулов, принадлежащих той же внутренней подсети (10.0.3.200-10.0.3.250), а OVPN-вообще настроена бриджом.
И здесь появляется проблема. Я могу подключиться с любого клиента-Android,Linux,iOS(Strongswan, OVPN или штатный IKEv1), клиент получает ожидаемый IP, может пропинговать локальную подсеть и даже выйти на гейтвей 10.0.2.1 и на этом-всё. Выйти в интернет оно не может, гуглоднс не пингуются.
Правило NAT настроено как out interface: pppoe-out1. Никаких особых настроек фаервола тоже не предпринималось(стандартные рекомендуемые MikroTik wiki)
Был бы рад любым предположениям и советам. Если нужно экспортировать какие-либо настройки-всегда готов.

И ещё, а что такое Local address в PPP policies для OVPN?
Просто адрес виртуального адаптера? Он должен быть в той же подсети 10.0.2.0 при бриджинге? Не должен совпадать с адресом bridge1(10.0.2.1)?
Заранее спасибо

Пулы адресов:

Код: Выделить всё

/ip pool> print 

 # NAME                                         RANGES                         

 0 dhcp                                         10.0.2.10-10.0.2.199           

 1 ipsec-ikev1                                  10.0.3.175-10.0.3.199          

 2 ovpn                                         10.0.3.225-10.0.3.249          

 3 ipsec-ikev2                                  10.0.3.200-10.0.3.224

OVPN Сервер:

Код: Выделить всё

/interface ovpn-server server> print 

                     enabled: yes

                        port: 1194

                        mode: ethernet

                     netmask: 23

                 mac-address: FE:EF:AF:FC:FC:66

                     max-mtu: 1500

           keepalive-timeout: disabled

             default-profile: ovpn

                 certificate: CAcert_wildcard

  require-client-certificate: yes

                        auth: sha1

                      cipher: aes128,aes192,aes256

NAT:

Код: Выделить всё

/ip firewall nat> print 

Flags: X - disabled, I - invalid, D - dynamic 

 0    ;;; Default NAT Masquerade rule

      chain=srcnat action=masquerade out-interface=pppoe-out1 log=no 

      log-prefix="" 



 1 XI  ;;; Hairpin NAT

      chain=srcnat action=masquerade src-address=10.0.2.0/23 

      dst-address=10.0.2.245 out-interface=ovpn-bridge log=no log-prefix="" 



 2    ;;; NAS

      chain=dstnat action=dst-nat to-addresses=10.0.2.245 to-ports=5000 

      protocol=tcp dst-address=88.87.69.78 dst-port=5000 log=no log-prefix=""

PPP Профиль для OVPN

Код: Выделить всё

/ppp profile> print 

Flags: * - default 

 0 * name="default" remote-ipv6-prefix-pool=none use-ipv6=yes use-mpls=default 

     use-compression=default use-encryption=default only-one=default 

     change-tcp-mss=yes use-upnp=default address-list="" on-up="" on-down="" 



 1   ;;; OpenVPN Profile

     name="ovpn" local-address=10.0.2.1 remote-address=ovpn 

     remote-ipv6-prefix-pool=*0 bridge=ovpn-bridge use-ipv6=yes 

     use-mpls=default use-compression=default use-encryption=required 

     only-one=default change-tcp-mss=default use-upnp=default address-list="" 

     on-up="" on-down=""

Быть может, с этими данными кто-то сможет помочь...

https://habrahabr.ru/post/227767/
Возможно, это поможет

Видел эту статью. Вроде, точно так же сделал, разве только режим у OVPN сервера не L3, а L2. Так же точно стоит srcnat-masquerade через PPPoE. Коннект на OVPN сервер микротика проходит, а наружу трафик не ходит, хоть ты тресни...

Russian Users MikroTik | Форум пользователей MikroTik

Вопросы по VPN

Вопросы по VPN

Re: Вопросы по VPN

Re: Вопросы по VPN

Re: Вопросы по VPN