Как разделить сеть через OpenVPN основная и офисная?

Question

[Джонаттан Смитт]

Помогите разобраться с конфигурацией , на работе стоит microtic роутер на базе routeros 6.47 с сервером для open-vpn.
Я хочу настроить конфигурацию клиента так , что бы весь трафик который не использует офисную подсеть 192.168.10.0/24 шел через мой интернет , а не все через офисную сеть. Как мне грамотно это настроить ?

Уже были настройки вот такого типа , но мне кажется , тут есть избыточные маршруты , помогите скорректировать :

proto tcp-client
remote vpn.ru
dev tap
nobind
persist-key
tls-client
ping 10
verb 5
cipher AES-256-CBC
auth SHA1
pull
route 192.168.10.0 255.255.255.0
route-gateway 192.168.10.6
dhcp-option DNS 192.168.10.1
tls-cipher "DEFAULT:@SECLEVEL=0"
auth-user-pass auth.cfg
route-method exe
route-delay 2

# Параметры для приоритезации маршрутов (сеть офиса только для работы)
route-nopull
route 0.0.0.0 128.0.0.0 net_gateway // лишние роуты? или сделать route 0.0.0.0 0.0.0.0 net_gateway ?
route 128.0.0.0 128.0.0.0 net_gateway
route 192.168.10.0 255.255.255.0 vpn_gateway

Используется open-vpn версии 2.4.

Comments

[Евгений]

Вы не стой стороны заходите.
Вам надо менять серверный конфиг.
В обычном клиентском конфиге строки начинающиеся со строк:
pull
route
dhcp
это ересь.
Уберите в серверном конфиге строку:
push "redirect-gateway def1 bypass-dhcp"
И все начнет работать.
А по хорошему, серверный конфиг в студию.

Answer 1

[AlexVWill]

Я хочу настроить конфигурацию клиента так , что бы весь трафик который не использует офисную подсеть 192.168.10.0/24 шел через мой интернет

В настройках клиента поставь эту галочку:

spoiler

Answer 2

[Drno]

в настройка сервера и клиента опенВПН убрать параметр default gateway
прописать push route нужная подсеть
всё

Answer 3

[Lx6g1ZG1]

Во первых лучше не использовать tap режим без необходимости (заменить на tun, если не знаете для чего Вам tap)
(конечно если вы можете это сделать - это настраивается на сервере)
Если у Вас vpn нужен только именно для подключения к офисным ресурсам:
Основная идея чтобы при установке vpn соединения не подменялся "default gateway"
Тогда при поднятии vpn до офиса маршруты будут только до сети офиса и все обращения в сеть офиса будут идти через интерфейс vpn
Ваш доступ в интернет будет через "default gateway" то есть через Ваш шлюз поумолчанию на вашем ПК

Comments

[Ziptar]

Не вижу ни одной причины использовать tun вместо tap, кроме как если по каким-то соображениям важен каждый байт полезной нагрузки в каждом фрейме

[Lx6g1ZG1]

ну тогда назовите причину использовать tap? (для понимания чем вы такой вариант лучше считаете)

Answer 4

[Джонаттан Смитт]

Понял благодарю , сейчас все исправлю. До этого был l2tp , но там явно использовалась сеть офиса , т.к глобальная скорость падала до 20 мбит , с openVPN стала 100 мбит , но только если что то загружать из офиса , какой то большой файл , скорость загрузки оттуда в 2мбайта в сек. Этот лимит к слову можно поднять ?

Comments

[Евгений]

Может проблема в микротике, и его реализации openvpn?
Типа TCP only.
На 7 версию routeros не пробовали переходить?
Ну тут есть старшие товарищи по микротику, они подскажут.
На PfSense проблем со скоростями нет.

[Юрий MikroTik]

На RouterOS 7 OpenVPN udp будет работать быстрее.
Вы не написали модель микрота.

[Джонаттан Смитт]

Юрий MikroTik, машинка такая :

ptime: 7w4d16h49m57s
                  version: 6.49.7 (stable)
               build-time: Oct/11/2022 14:37:24
              free-memory: 90.7MiB
             total-memory: 128.0MiB
                      cpu: MIPS 74Kc V4.12
                cpu-count: 1
            cpu-frequency: 600MHz
                 cpu-load: 7%
           free-hdd-space: 103.4MiB
          total-hdd-space: 128.0MiB
  write-sect-since-reboot: 105275
         write-sect-total: 1931939
               bad-blocks: 0%
        architecture-name: mipsbe
               board-name: RB2011UiAS-2HnD
                 platform: MikroTik

Страшновато просто апгрейдить на 7 версию , вдруг полетит все)

[Юрий MikroTik]

Джонаттан Смитт, RB2011 очень слабый аппарат, больших скоростей шифрования не получите.
Обновляйтесь на RB4011/RB5009, или если хотите сэкономить - hAP AX2/AX3