Доступ к сети Mikrotik через OpenVPN (usb 3g modem) только для управления?

Question

[ernesto chegevara]

друзья, прошу прощения за возможно детский вопрос :)

1. Mikrotik RB951G-2HnD
2. белый IP на usb-модем 3G
3. на Микротике поднят OpenVPN сервер по манам
4. на клиенте успешно подключаюсь к openVPN <белый IP>

нужно чтобы у клиентов Микротика не пропадал интернет (через WAN а не 3G-модем)
а клиенту openVPN иметь доступ только для управления и настройки Микротик (192.168.88.1) и freenas (192.168.88.100)

заранее спасибо за поддержку и помощь :)

Comments

[Александр Карабанов]

Зря ты затеял эту катавасию с OpenVPN на Mikrotik. Оно же там только по TCP, да ещё и с сертификатами. Юзай IPsec быстро, просто, авторизация по ключу (нет, если хочешь заморочится авторизоваться по сертификатам тоже можно, но зачем), через NAT работает и тд. и тп. Рад не помню, что слез с OpenVPN. IPsec есть "из коробки" во всём начиная от телефона на андроиде заканчивая виндой. Я с телефона теперь офисной сетью рулю из любой точки мира.

[ernesto chegevara]

возможно есть более простое решение, openVPN использую на работе, удобно, поэтому первое что пришло в голову когда распаковал Микротик..

Answer 1

[Diman89]

Вам нужно натить адреса из сети openvpn в адреса 192.168.88.x и не забыть про port forwarding для 80х портов тика и freenas

Answer 2

[Александр Романов]

Правильно я понял, что 3g используется только для openVPN и только для менеджмента и доступа к НАС?
Создайте OpenVPN server binding для openVPN клиентов, после этого следуйте в файерволл.
Тогда два правила файервола вам помогут.

/ip firewall filter add chain=input in-interface=ovpn-in1 action=accept 
/ip firewall filter add chain=forward  in-interface=ovpn-in1 dst-address=!192.168.88.100 action=drop

Разместите их в файерволе повыше, до дропающих правил, добавьте удобные Вам комменты (чтобы не забыть, что это за правила). Enjoy.
Если не будет работать доступ к нас - копайте маршруты.

Comments

[ernesto chegevara]

случайно обнаружил, что если извне зайти на <белый IP который на 3G-модеме>:80 то выдает winbox - как будто локально зашел на 192.168.88.1

управление Микротиком и Freenas удается получить без OpenVPN обычным ssh-туннелем - проверил, работает - спасибо за наводки и помощь!

осталось малое :)
1. чтобы было поднято одновременно два интерфейса, и интернет раздавался только от WAN (а не как сейчас, 3G-модем тоже нагружается)
2. закрыть вообще или паролем <белый IP который на 3G-модеме>:80 и подключаться только ssh

Answer 3

[ernesto chegevara]

Александр, спасибо попробую!
да, Вы правильно поняли, 3g нужен ТОЛЬКО для управления Микротиком и Freenas