Как правильно настроить маршруты в VPN сети?

Question

[Maksim Herasim]

Всех приветствую!
Есть такая задачка -
Есть инфраструктура с адресацией 192.168.207.0/24, в этой инфраструктуре есть шлюз на базе CHR (R1) - 192.168.207.1, и внешним IP 1.1.1.1
Есть несколько Облачных CHR с внешним IP 2.2.2.2(R2) и 3.3.3.3 (R3).
Есть клиент VPN с рандомным внешним IP (Client)
Задача заключается в следующем, нужно чтобы Client подключался к R3 и мог достучаться к сервисам в сети 192.168.207.0/24, при этом R3 не имеет прямого доступа к R1, а должен проходить через R2.

Картинка для наглядности

Что пробовал:
Между R1 и R2 настроили IPIP тунель. Настроили маршруты. R2 может пинговать хосты в сети R1. Настроил IPIP между R2 и R3. Настроил маршруты к сети 192.168.207/0 через IPIP адрес R2. Пинги не проходят Более того, не могу запинговать IPIP адрес R1 с R3 . Все правила Firewall сейчас отключены, подскажите рабочую схему

Comments

[Valentin Barbolin]

На R1 есть обратный маршрут на 98.3?

[Maksim Herasim]

Valentin Barbolin, Вот про него я то и забыл Wexter дал про наводку и я разобрался. Но спасибо за Ваш комментарий

Answer 1

[Wexter]

https://linkmeup.ru/blog/1191/

Comments

[Maksim Herasim]

У меня есть
R3 (192.168.98.3)
R2 (192.168.98.2 и 192.168.99.2)
R1 (192.168.99.1)
С R3(98.3) я пингую R2(98.2). С R3(98.3) я пытаюсь запинговать R1(99.1), по tracert запрос проходит до R2 и далее теряется. На R2 настроен маршрут до R1(99.1). На R3 также настроен маршрут до R1(99.1) через R2(98.2)
Вроде бы всё верно, не понимаю где ошибка

[Wexter]

Maksim Herasim, на R1 маршрут к R3 сам собой появится?

[Maksim Herasim]

Wexter, я честно говоря предполагал что этот маршрут будет нужен только в том случае если мы хотим получить доступ из сети R1 в R3. В общем то вы дали верное направление и всё заработало, спасибо!

[Wexter]

Maksim Herasim,

нужен только в том случае если мы хотим получить доступ из сети R1 в R3

ну так обратный пакет должен как-то найти путь?

[Maksim Herasim]

Wexter, Да, согласен протупил в этом случае

Answer 2

[Талян]

Все правила Firewall сейчас отключены

даже FORWARD ACCEPT отключили?

На R2.

Comments

[Maksim Herasim]

Сейчас это всё происходит в изолированном стенде. Правил Filter,mangle,RAW - нет от слова совсем)

ТЫЦ

[Талян]

Maksim Herasim, ну так если у вас пакеты не форвардятся, то ничего и не будет маршрутизироваться.

Добавьте в файрвол в Filter Rule:

src-ip: 192.168.98.0/24
dst-ip: 192.168.99.0/24
Action: forward

и обратное

src-ip: 192.168.99.0/24
dst-ip: 192.168.98.0/24
Action: forward

ну и во вкладку NAT добавьте либо маскарадинг или to-source:

from: 192.168.98.0/24
to: 192.168.99.0/24
action: masquerade (или to-source: 192.168.99.2)

[Maksim Herasim]

Талян,
Это вроде бы как нужно коглда есть маскарадинг. В моём случае маскарадинг не используется, мне не нужно чтобы клиенты VPN выходили в интернет через мой сервер, в этом случае VPN нужен только для маршрутизации трафик до сети в инфраструктуре. Общий смысл задачи заключается в сокрытии внешнего адреса куда подключается VPN клиент. С той оговоркой, что если начнут анализировать трафик, то сопоставить R3 и R1 будет нельзя, при условии что R1, R2 и R3 ВСЕ находятся в разных юрисдикциях.

[Талян]

Maksim Herasim, маскарадинг нужен не для интернета а для маршрутизации. У вас между сетями пакеты без форвардинга как должны ходить? Перепрыгивать что ли?)

[Maksim Herasim]

Талян, ну смотрите - у меня сейчас на R2 и R3 нет правил маскарадинга. Настроены только VPN сервер и Route. При этом клиент OVPN который подключается к R3 - может спокойно дойти до сети за R1. Повторюсь, никаких правил о которых Вы пишите у меня нет - /ip firewall [filter,nat,mangle,raw] на R2 и R3 пустые
Маскарадинг нужен для клиентов за nat, чтобы когда клиент обращается к ресурсу и ресурс отвечал, микротик понимал какому из клиентов нужно отдавать данные.
То, что Вы описываете про вкладку Filter - это нужно для того, если у меня есть другие правила, которые могут запрещать трафик, в таком случае соглашусь, что мне нужно будет разрешить пересылку. Но, т.к. запрещающих правил у меня нет (пока что), то и явным образом мне не нужно делать action: forward, т.к. запретов на это нету.