Как пробросить через Mikrotik OpenVPN клиента во внутреннюю сеть?

Question

[Андрей Евдокимов]

Есть Mikrotik роутер с внутренней сетью 10.10.43.0/24, на нем настроен OpenVPN клиент. Как сделать проброс порта так, чтобы подключившись из сети VPN клиентов 10.8.0.0/24 к ip, выданному Mikrotik 10.8.0.4 на порт 4840, достучаться до устройства во внутренней сети 10.10.43.200:4840?

Вот так не работает:

add action=dst-nat chain=dstnat dst-port=4840 in-interface=ovpn-out1 protocol=tcp to-addresses=10.10.43.203 to-ports=4840

add action=masquerade chain=srcnat out-interface=ovpn-out1

Comments

[Drno]

а должно работать. фаерволл не блочит?
до самого микротика клиенты могут достучаться? может у них маршрут не верный

[Андрей Евдокимов]

Drno, да. Если правило завернуть на сам Микротик вот так
add action=dst-nat chain=dstnat dst-port=4840 in-interface=ovpn-out1 protocol=tcp to-addresses=10.10.43.1 to-ports=22
открывается соединение с 22 портом микротика, а вот если направлять на устройства внутри локальной сети - не работает.

[Drno]

Андрей Евдокимов, не, я имел ввиду без dst-nat... пингуется ли он банально.
мож маршрутизация между клиентами запрещена внутри Openvpn

Answer 1

[Андрей Евдокимов]

Оказывается "иногда" нужно нужно еще одно правило. Симптом: при включенном логировании правила dst-nat, в логе появляется dstnat: in:ether1 out:(unknown 0), src-mac **:**:**:**:**:**, proto TCP (SYN),

add action=masquerade chain=srcnat dst-address=10.10.43.203 dst-port=4840 protocol=tcp

Answer 2

[Максим Карамышев]

У вас нет маршрутов между внутренней сетью и пулом впн клиентов, вот что можно сделать:
- поменяйте подсети на 10.10.х.х/16 или 10.х.х.х/8 а на клиентах включите добавление маршрута по классу подсети
- вместо dst-nat используйте netmap и отключите маскарадинг для впн-клиентов, в фаерволе укажите явное правило с действием accept и задвиньте его повыше.

Comments

[Андрей Евдокимов]

Дело было не в этом, ответ добавил внизу.