Как с сервера OpenVPN попасть в сеть за клиентом Mikrotik?

Question

[Der AlSem]

Стандартная связка.

OpenVPN сервер на Ubuntu с внешним IP.
Mikrotik c LTE с серым IP, за НАТом два компа, на одном из компов крутится БД, к которой нужно получить доступ с OpenVPN сервера (в БД склад, нужно из него для сайта брать кол-во/стоимость для покупателей). Если бы был RealIP на модеме - вообще вопроса бы не было.

Сеть за Микротиком - 192.168.1.0
Сеть VPN - 10.8.0.0
Если с компа за NAT пинговать 10.8.0.1 (IP сервера по ВПН) - пинг проходит.
Если с сервера пинговать 10.8.0.6 (IP клиента OpenVPN, кстати, где это прописывается? На 0.2 поменял бы) - пинг проходит.
Если с сервера пинговать 192.168.1.1 (IP микротика-шлюза) - пинг проходит.

Вот графически, более понятно.



Дальше никуда не идет, я так понимаю, упирается в НАТ. Пытался указать src-address !10.8.0.1 в НАТе, чтобы не НАТилось - толку никакого.

Какая-то характерная неисправность (преимущественно в руках), куда копать?

Маршруты на OpenVPN сервере:

root@/etc/openvpn# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 185.63.188.1 0.0.0.0 UG 0 0 0 p1p1
10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
10.8.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
185.63.188.0 0.0.0.0 255.255.254.0 U 0 0 0 p1p1
192.168.1.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0

Firewall на микротике:

/ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough

1 ;;; defconf: accept ICMP
chain=input action=accept protocol=icmp

2 ;;; defconf: accept established,related
chain=input action=accept connection-state=established,related

3 XI ;;; defconf: drop all from WAN
chain=input action=drop in-interface=ether1

4 ;;; defconf: fasttrack
chain=forward action=fasttrack-connection
connection-state=established,related

5 ;;; defconf: accept established,related
chain=forward action=accept connection-state=established,relate

6 ;;; defconf: drop invalid
chain=forward action=drop connection-state=invalid

7 XI ;;; defconf: drop all from WAN not DSTNATed
chain=forward action=drop connection-state=new
connection-nat-state=!dstnat in-interface=ether1

8 chain=input action=drop in-interface=lte1 log=no

Answer 1

[HawK]

На OVPN сервере должен быть маршрут 192.168.1.2 с шлюзом 10.8.0.6. На MikroTik в firewall не должно быть правил запрещающих этот проходящий трафик.

Comments

[Der AlSem]

Я обновил вопрос, выложил правила. Маршрут прописан целиком на подсеть 192.168.1.0, а в файрволе ничего запрещающего нет (там серый ИП, бояться особо нечего). Мне кажется, дело в NAT. Приходит пакет "снаружи" и NAT его заворачивает...

Answer 2

[Der AlSem]

Разобрался.

Windows Firewall на клиентской машине пропускал пинги с Микротика, но не пропускал с Сервера.

Отключил его, всё заработало как надо.