Страница 1 из 1
Объединение двух сетей через OpenVPN (mikrotik client)
Добавлено: 05 июл 2018, 18:29
andrey.vasilenko
Добрый день,
"Курил" недели три мануалы, примеры и т.д, но так и не могу объединить две сети через OVPN.
До этого было два роутера на tomatousb, где легко и просто все настраивалось, имел доступ к устройствам за клиентом.
Сейчас имеется две сети:
1. 192.168.10.0/24 - tomatousb server
2. 192.168.1.0/24 - mikrotik client
между ними поднят ovpn 10.8.0.0/24
Вопрос, как мне настроить NAT и firewall, чтобы он меня из vpn спокойно пускал к ресурсам сети клиента?
Настройки сервера:
Код: Выделить всё
# Automatically generated configuration
daemon
server 10.8.0.0 255.255.255.0
proto tcp-server
port 1194
dev tun21
cipher AES-128-CBC
keepalive 15 60
verb 3
plugin /lib/openvpn_plugin_auth_nvram.so vpn_server1_users_val
script-security 2
username-as-common-name
push "dhcp-option DNS 192.168.10.1"
status-version 2
status status
# Custom Configuration
ifconfig 10.8.0.1 255.255.255.0
route 192.168.1.0 255.255.255.0
push "route 192.168.10.0 255.255.255.0" # say lan to other (push lan to client)
push "route 192.168.1.0 255.255.255.0"
client-to-client
push "redirect-gateway df1" # allow to acess to lan thought vpn
duplicate-cn
ca /mnt/sdb1/cert/ca.crt
cert /mnt/sdb1/cert/server.crt
key /mnt/sdb1/cert/server.key
dh /mnt/sdb1/cert/dh2048.pem
Роуты сервера
Код: Выделить всё
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
176.15.192.1 * 255.255.255.255 UH 0 0 0 vlan2
10.8.0.2 * 255.255.255.255 UH 0 0 0 tun21
192.168.10.0 * 255.255.255.0 U 0 0 0 br0
10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun21
192.168.1.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun21
176.15.192.0 * 255.255.240.0 U 0 0 0 vlan2
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 176.15.192.1 0.0.0.0 UG 0 0 0 vlan2
Схема сети
Re: Объединение двух сетей через OpenVPN (mikrotik client)
Добавлено: 05 июл 2018, 19:39
podarok66
Вот такой был конфиг у меня на Debian 8 , пока РКН не закрыла весь диапазон адресов на DigitalOcean
Код: Выделить всё
port 1194
proto tcp
dev tun
ca /etc/openvpn/.keys/ca.crt
cert /etc/openvpn/.keys/DigOceanServer.crt
key /etc/openvpn/.keys/DigOceanServer.key # This file should be kept secret
dh /etc/openvpn/.keys/dh2048.pem
server 10.10.0.0 255.255.255.0
route 192.168.88.0 255.255.255.0 # Маршрут писал для каждой из подсетей
route 192.168.100.0 255.255.255.0 #Было несколько туннелей
route 192.168.101.0 255.255.255.0 #Требовалось получить доступ из сети в сеть
push "route 192.168.88.0 255.255.255.0" #Используя промежуточный сервер
push "route 192.168.100.0 255.255.255.0" #В итоге всё вышло вот в таком виде
push "route 192.168.101.0 255.255.255.0" #Можно оставить только одну сеть, если туннель один
client-config-dir .ccd
client-to-client
keepalive 10 120
cipher AES-256-CBC # AES
auth sha1
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
log /var/log/openvpn.log
verb 3
Ну там еще клиентские настройки в директории .ccd, но там буквально пара строк про маршруты. Типа такого для каждого из клиентов
Код: Выделить всё
iroute 192.168.88.0 255.255.255.0
ifconfig-push 10.10.0.10 10.10.0.9
На Микротике тоже минимум настроек
Код: Выделить всё
/interface ovpn-client
add certificate=dig.crt_0 cipher=aes256 connect-to=xxx.xxx.xxx.xxx name=DigO user=dig
/ppp secret
add name=dig profile=ovpn service=ovpn
/ppp profile
add name=ovpn
Поосторожнее с топологией сабнет. У меня она работает на новых серверах, а вот на старых не работала. Истинную причину так и не обнаружил. Плюнул и не стал копать глубже.
Re: Объединение двух сетей через OpenVPN (mikrotik client)
Добавлено: 07 июл 2018, 15:31
andrey.vasilenko
Привет,
Настройки vpn на сервер и на микротике сделал, аналогичные. Может я не правильно выразился.
Мне надо, чтобы когда я прихожу через OVPN на микротик я мог попасть в подсеть за микротиком, все входящие с VPN открыты.
Сейчас временно сделал проброс нужных мне портов, но это не удобно.
podarok66 писал(а): ↑05 июл 2018, 19:39
Вот такой был конфиг у меня на Debian 8 , пока РКН не закрыла весь диапазон адресов на DigitalOcean
Код: Выделить всё
port 1194
proto tcp
dev tun
ca /etc/openvpn/.keys/ca.crt
cert /etc/openvpn/.keys/DigOceanServer.crt
key /etc/openvpn/.keys/DigOceanServer.key # This file should be kept secret
dh /etc/openvpn/.keys/dh2048.pem
server 10.10.0.0 255.255.255.0
route 192.168.88.0 255.255.255.0 # Маршрут писал для каждой из подсетей
route 192.168.100.0 255.255.255.0 #Было несколько туннелей
route 192.168.101.0 255.255.255.0 #Требовалось получить доступ из сети в сеть
push "route 192.168.88.0 255.255.255.0" #Используя промежуточный сервер
push "route 192.168.100.0 255.255.255.0" #В итоге всё вышло вот в таком виде
push "route 192.168.101.0 255.255.255.0" #Можно оставить только одну сеть, если туннель один
client-config-dir .ccd
client-to-client
keepalive 10 120
cipher AES-256-CBC # AES
auth sha1
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
log /var/log/openvpn.log
verb 3
Ну там еще клиентские настройки в директории .ccd, но там буквально пара строк про маршруты. Типа такого для каждого из клиентов
Код: Выделить всё
iroute 192.168.88.0 255.255.255.0
ifconfig-push 10.10.0.10 10.10.0.9
На Микротике тоже минимум настроек
Код: Выделить всё
/interface ovpn-client
add certificate=dig.crt_0 cipher=aes256 connect-to=xxx.xxx.xxx.xxx name=DigO user=dig
/ppp secret
add name=dig profile=ovpn service=ovpn
/ppp profile
add name=ovpn
Поосторожнее с топологией сабнет. У меня она работает на новых серверах, а вот на старых не работала. Истинную причину так и не обнаружил. Плюнул и не стал копать глубже.