Как раздать интернет через VPN для удалённого клиента?

Question

[Coleslaw]

Добра! Ситуация следующая: имеется роутер mikrotik hAP ac^2, подключённый к интернету, есть удалённый клиент (пк на win11, либо телефон на android). Задача: подключиться к роутеру через vpn (или юзать его в качестве прокси?) и выйти в интернет через его wan. Подскажите, в какую сторону вообще копать, и вообще такое в принципе возможно? Гуглил, пробовал поднимать ovpn/l2tp, доходил до момента прописывания статического маршрута, и дальше никак. Прошу сразу не забрасывать тапками, т.к. в сетях шарю весьма поверхностно.

Comments

[AlexVWill]

Такое в принципе возможно, но действие сие почти не имеет смысла. Для чего пускать весь трафик через роутер в интернет если устройства уже в интернет? Какая всеиаки конечная цель?

[Valentin Barbolin]

На микротика белый адрес есть? Если нет, то выбор VPN сильно ограничен.

[Coleslaw]

AlexVWill, цель сего мероприятия - обеспечить себе возможность обходить геоблокировку сайтов госуслуг. Как бонус возможность обустроить помещение датчиками и иметь доступ к этой инфраструктуре через виртуалку. Весь трафик гнать мне и не надо, только https нужен, по этому смотрю на возможность использовать web-proxy, но судя по документации эта фича на роутере заточена немного на другие задачи.

Andrey Barbolin, да, ip белый, ddns работает. Мне хоть pptp бы, его вроде и настроить проще всего, а то ipsec пока не одолел.

Answer 1

[pr0l]

настраивай nat для vpn, а на устройствах ставь галку отправлять весь трафик через впн

Comments

[Coleslaw]

Понял, спасибо.
upd. Соединение наконец-то удалось, но не видно ни роутера, ни интернета.. пойду курить мануалы по nat.
UPD Всё получилось. Нужен был маскарад, как писал комрад Drno, доступ в интернет душился автодетектом интерфейса vpn, как wan.

Answer 2

[Drno]

На микротике настрой опенвпн сервер
Сделай конфиг клиента с параметром переадресации всего трафф
def bypass ... не помню точно параметр

Всё, профит

Comments

[Coleslaw]

С клиентом ясно, а в роутере явно прописывать маршрутизацию с ovpn-in на wan не нужно? Может их в бридж второй, например?

[Drno]

Coleslaw, на роутере по идее достаточно просто сделать NAT для интерфейса с ВПН
тебе же в сеть ЗА роутером ненадо, тебе на него или юзать его как шлюз

[Coleslaw]

Drno, в идеале, конечно, в сеть бы тоже попасть, но там вроде не сложно. А вот с nat проблемы какие-то. Входящие пакеты проходят, обратно клиенту не идут. Тестирую пока с самым простым протоколом

add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.89.0/24
add action=dst-nat chain=dstnat in-interface=pptp-in1 to-addresses=0.0.0.0
add action=src-nat chain=srcnat out-interface=pptp-in1 to-addresses=0.0.0.0

[Drno]

Coleslaw, зачем ты что то где то метишь?
просто сделать masquarade и интерфейс "all pptp"

этого достаточно по идее

[Coleslaw]

О! отключил последние 2 правила, оставил маскарад

add action=masquerade chain=srcnat comment="masq. vpn traffic" out-interface=all-ppp src-address=192.168.89.0/24

- даёт доступ в морду, уже прогресс! Интернет не даёт, видимо маршрут надо прописать всё же

[Drno]

Coleslaw, что за протокол подняли?
по идее достаточно на клиенте указать "шлюз по умолчанию" в настройке подключения

[Coleslaw]

Поднял пока что простейший PPTP (знаю, что не лучший вариант, зато просто и любой девайс нативно умеет).

указать "шлюз по умолчанию" в настройке подключения

На клиенте такой галки нет, но в целом, он же подключается к веб-морде роутера, значит, если я правильно понимаю, всё упирается в маршрутизацию.

spoiler

[Coleslaw]

Получилось достучаться до интернета, путём включения web-proxy и указанием его в настройках клиента.

[Drno]

Coleslaw, ну а зачем Вам не шифруемый прокси?
На какой ОС у Вас клиент? В винде эта галочка есть)

Я просто не понимаю в чем сложность у Вас, потому что эта задача за 5 мин решается)

[Coleslaw]

Drno, ну, смотрите, какая штука получается. VPN поднят, настроен файрволл с nat, dns - внешние запросы разрешены. Соединение устанавливается, даёт доступ во внутреннюю сеть (по крайней мере вебморда на стандартном адресе видна), в интернет выхода нет до момента включения IP—Web-proxy и указания его (192.168.88.1) в кач-ве прокси в настройках vpn-подключения клиента. Клиент — андроид, насколько я знаю, там по умолчанию весь трафик идёт через впн, только службы гугла могут где-то подтекать, что в моем случае не критично. Клиент под десктопной осью пока не было возможности протестировать.
Если я правильно понимаю логику получающегося соединения, то я к прокси уже внутри тоннеля обращаюсь, т.е. шифрование-таки есть.
В чём сложность, я и сам не понимаю, иначе всё было бы намного проще) Находил инфу, что для использования роутера как шлюза нужно настроить dns, но, как уже писал выше запросы разрешены, к тому же у клиента прописан статический от cloudfare.

[Coleslaw]

Может быть есть смысл посмотреть ещё, как определяется входящий интерфейс vpn, как wan или lan, или вообще отдельный лист для него надо сделать?
К слову сказать, вчера пробовал обновиться до 7 версии ROS, после этого всё опять перестало работать, пока не откатился.

[Drno]

Coleslaw, ну не видя настроек - хрен разберешься... я могу впринципе помочь, потому что как я и писал - там по сути 3 кнопки нажать))
но если уж помогать тогда наверно в телеге проще, в профиле... и уже завтра

[Coleslaw]

Drno, ну конфиг в терминале экспортировать минутное дело, тем более может кому ещё пригодится решение данной проблемы. Насчёт помощи - спасибо, ценю) Но имхо надо постараться самому в этом разобраться, мне ж ещё жить с этим чудом.

[Coleslaw]

И источник проблемы, кажется, нашёлся. Автодетектор интерфейсов совал vpn-binding в wan, и затем он, видимо, закрывался файрволлом.

[Drno]

Coleslaw, эммм... это что за автодетектор такой?
fastpatch... может ломать ВПН... синее правило такое..

[Coleslaw]

Drno,

я имею в виду вот эту штуку.