Mikrotik, сторонний openvpn, не идут пинги между сетью openvpn и ЛВС. Как настроить фаерволл?

Question

[zolotykx]

Прошу помочь с настройкой фаервола в Микротике. Конфигурация сети следующая:
Mikrotik LAN IP 192.168.88.1/24. Является шлюзом для локальной сети.
Имеется отдельный OpenVPN-сервер на Ubuntu (с включенной маршрутизацией), имеет адрес 192.168.88.30.

OpenVPN настроен в L3-режиме, подсеть 10.0.8.0/24. Также, на Микротике прописан маршрут в сеть 10.0.8.0/24 через 192.168.88.30 (чтобы клиенты ЛВС могли обращаться к клиентам OpenVPN). На OpenVPN-сервере в качестве шлюза указан 192.168.88.1.
Еще, на Микротике сделан DST-NAT, чтобы клиенты из Интернета могли обращаться к OpenVPN серверу и через него попадать в основную ЛВС.
При настройке фаервола, а именно правила drop invalid connections в цепочке forward, клиенты не могут достучаться до локальных ресурсов ЛВС, пинги не идут c OpenVPN клиентов . Однако, из ЛВС пинги доходят до OpenVPN клиентов. Если же отключить правило с invalid, то OpenVPN клиненты начинают пинговать ресурсы ЛВС. Прошу помочь или хотя бы указать, в каком направлении идти, чтобы наладить корректное двухстороннее взаимодействие между OpenVPN клиентами и ЛВС. Также, непонятно, почему данный трафик попадает в invalid.

Comments

[MarvinD]

Т.е. если я правильно понял, сервер OpenVPN находится в обычной локалке (то же, что и остальные клиенты локалки) и на микротике настроен проброс порта (скажем, 1234/upd) до 192.168.88.30. Так?

[zolotykx]

Да, все верно. При этом требуется, чтобы клиенты локалки могли обращаться к клиентам из сети OpenVPN и наоборот. А правило invalid drop connections в forward режет возможность доступа клиентов OpenVPN к компам из обычной локалки.

[MarvinD]

Самый простой путь узнать, что уходит в отлуп: на правиле drop invalid connections поставить логирование. И смотреть лог. Очень вероятно, сразу поймаете глюк.

А если по сути вашего вопроса, то должно быть:
1. allow established, related, понятное дело.

2. Проброс портов с WAN (ether1) к серверу VPN:
chain=forward action=accept protocol=udp in-interface=ether1 dst-port=1234

3. VPN клиенты попадают в локалку:
chain=forward action=accept src-address=10.0.8.0/24 dst-address=192.168.88.0/24 in-interface=!ether1

4. Из локалки к клиентам VPN:
chain=forward action=accept src-address=192.168.88.0/24 dst-address=10.0.8.0/24

5. DST-NAT, как вы описали.

6. Самое последнее правило, конечно же, forward drop all / input drop all.

По-идее, все описал.

ЗЫ: совет: старайтесь в сетях не использовать стандартные сети, с ума сойдете, если две разных сети 192.168.88.0 будете маршрутизировать. К примеру.

Answer 1

[Руслан Хайруллин]

Покажи ысе правифла firewall filter

Answer 2

[zolotykx]

Вот текущие правила:

add action=drop chain=input comment="Drop echo request" icmp-options=8:0 in-interface-list=WAN protocol=icmp
add action=accept chain=input comment="Accept ICMP" protocol=icmp
add action=accept chain=input comment="Accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="Allow remote WinBox access from WAN" dst-port=8291 in-interface-list=WAN protocol=tcp
add action=drop chain=input comment="Drop invalid" connection-state=invalid
add action=drop chain=input comment="Drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="Accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="Drop invalid" connection-state=invalid
add action=drop chain=forward comment="Drop all from WAN not DSTNATed"connection-nat-state=!dstnat connection-state=new in-interface-list=WAN