@kurvimetr

Mikrotik, обновил ROS с 6 на 7 версию, как теперь настроить OVPN сервер шлюзом??

Всем привет! Я чет совсем уж разочаровался в ROS7, ибо там перелопатили всю сущность маршрутизации, если я правильно понял, в итоге стало как в Зоне после выброса: старые тропки стали непроходимые)) Вопрос - как обычо: кто виноват и что делать.
Итак, суть:
Имею парк микротов в личном хозяйстве (RB951ui на работе, AC2 дома и CHR в AWS в качестве VPN. Домашний АС2 служит основным, так сказать, OVPN сервером для физических железяк, рабочий подключается к нему с рабочего интернета, чтобы в мой внешний траффик не лезли чужие глазки и ручки, заодно удаленка для доступа к рабочим ресурсам. А CHR в облаке служит OVPN сервером для домашнего (и всех, кто за ним - локалка и ведомые через OpenVPN железки), чтобы обходить блокировку на некоторые вручную задаваемые ресурсы. На RouterOS 6 вот вообще не было проблем. Железки подключались по схеме:
-AC2 - поднят сервер OVPN, открыт наружу 1194 TCP порт лишь для некоторых 24-х провайдерских подсетей, чтобы не ломились все кому ни попадя.
-На рабочем микроте подключился к домашнему. В Mangle создано правило
add chain=prerouting src-address-list=home action=mark-routing home
Траффик для локальных адресов из списка home заворачивается при помощи NAT и маршрута dst-address 0.0.0.0/0 на OVPN интерфейс для router mark home.
Ну и DNS, разумеется, тоже берется с дома.
-Остальные железки типа телефона или чего иного тоже подключаются к этому серверу при надобности, но все порты наружу по input закрыты, помимо вышеуказанного правила, для остальных OVPN порт открывается через порт кнокинг, при этом кто не угадал с размером пакета ICMP (кроме пингов со стандатным размером пакета) - отправляются в бан-лист на год и отсеиваются на этапе RAW.
-Траффик на микрот в AWS для обхода РКН заворачивается чутка по-другому - в Mangle правило: соединения на адреса dst-address-list RKN маркируются mark routing RKN, и далее в /ip/routing создан маршрут 0.0.0.0/0 на интерфейс OVPN до AWS для router mark RKN. Адреса в RKN-лист добавляются тупо DNS именем, к примеру, rutracker.org. Кстати, интересно, адреса без www резолвятся одни, а с www - другие.
В общем, работала эта себе схема, не знала баба горя, купила баба порося. Решил я освоить новую ROS7. Все бы хорошо, да вот оказалось, что маршрутизацию они там, по ходу. перелопатили. Началось все с того, что теперь нельзя просто так взять и маркирнуть mark routing - ее, эту марку, тупо теперь не создать в этом месте. Методом тыка выяснилось, что сначала надо тащиться в /routing/tables и создать новую таблицу маршрутизации, к примеру, та же RKN для доступа через AWS, или таблицу home для доступа в интернет через домашний роутер с работы На рабочем ведомом микроте соответственно тоже создана таблица home, чтобы mark routing был. Но траффик с работы через домашний микрот хоть и вроде как ходит, но что-то не то с DNS, или в другом дело - не пойму. Ибо упала отзывчивость, сайты открываются через раз, какие-то по минуте целой, а какие-то сразу грузятся. А иногда вообще не открываются. Тупит полминуты, затем бац ERR_TIMED_OUT в браузере. Иногда работают быстро - полный рандом короче. Отключаю правило Mangle, которое маркирует траффик - все идеально. Пробовал менять в Mangle правило с mark routing на тупое route и указывать напрямую адрес микрота на интерфейсе ovpn. Если убрать таблицу маршрутизации home, к примеру, на работе, и оставить одну main, но указать в route 0.0.0.0/0 в интерфейс OVPN c меньшим Distance, то траффик идет-таки через дом (internet.yandex.ru выдает мой внешний IP - домашний), но многие адреса, которые в запрещенном списке на шлюзе организации, перенаправляются на шлюзовую страницу, что, мол, иди на фиг, нельзя. Короче говоря, при казалось бы аналогичных настройках все стало работать через одно место.
Вопрос, как сказал выше, ясен: кто виноват и что бы рекомендовалось сделать.
з.ы. чутка подправил текст.
  • Вопрос задан
  • 5003 просмотра
Пригласить эксперта
Ответы на вопрос 4
jamakasi666
@jamakasi666
Просто IT'шник.
Абсолютно все что у вас написано у меня работает, также мангл со списками. Только ушел с ovpn на wg. Могу предположить что вы обновились на 7ку с сохранением конфигурации или востановили ее из бэкапа. У меня в таком случае тоже странности были, решилось все прошивкой без сохранений конфигов и настройкой с нуля.
Ответ написан
@Ragnar1
Linux teacher for beginners.
1) Ovpn делается шлюзом по умолчанию одной галкой на клиенте «add to default route» в настройках интерфейса.
2) при маркировки трафика сначал должны отмаркировать соединения и только потом маркировать пакеты/маршруты. Далее как настраивать Вы уже знаете: в роутах добавить маршрут для четырех нулей в интерфейс овпн клиента для маркированных роутов. Чтобы не городить наты, добавить маршрутизацию между роутером с сетью локальной и сетью на сервере ВПН, статикой или динамикой - как вам удобнее
Ответ написан
smorman
@smorman
When In Rome do as The Romans do...
7.3 прилетала вроде на той неделе, а вчера в 11:58 корректировочка прилетела от них - 7.3.1
Видимо, что-то оперативно нашли и поправили.

Ты корректировку поставил?

У меня всё отлично крутит...

В RouterBOARD firmware тоже обновлял?
Ответ написан
@akamary
После обновления с сохранением настроек - рекомендую перейти в ip - firewall - Mangle
вкладка Action, в графе New Routing Mark - выбрать ранее использующийся маркер.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы