Задать вопрос
@zolotykx

Mikrotik, сторонний openvpn, не идут пинги между сетью openvpn и ЛВС. Как настроить фаерволл?

Прошу помочь с настройкой фаервола в Микротике. Конфигурация сети следующая:
Mikrotik LAN IP 192.168.88.1/24. Является шлюзом для локальной сети.
Имеется отдельный OpenVPN-сервер на Ubuntu (с включенной маршрутизацией), имеет адрес 192.168.88.30.

OpenVPN настроен в L3-режиме, подсеть 10.0.8.0/24. Также, на Микротике прописан маршрут в сеть 10.0.8.0/24 через 192.168.88.30 (чтобы клиенты ЛВС могли обращаться к клиентам OpenVPN). На OpenVPN-сервере в качестве шлюза указан 192.168.88.1.
Еще, на Микротике сделан DST-NAT, чтобы клиенты из Интернета могли обращаться к OpenVPN серверу и через него попадать в основную ЛВС.
При настройке фаервола, а именно правила drop invalid connections в цепочке forward, клиенты не могут достучаться до локальных ресурсов ЛВС, пинги не идут c OpenVPN клиентов . Однако, из ЛВС пинги доходят до OpenVPN клиентов. Если же отключить правило с invalid, то OpenVPN клиненты начинают пинговать ресурсы ЛВС. Прошу помочь или хотя бы указать, в каком направлении идти, чтобы наладить корректное двухстороннее взаимодействие между OpenVPN клиентами и ЛВС. Также, непонятно, почему данный трафик попадает в invalid.
  • Вопрос задан
  • 980 просмотров
Подписаться 1 Средний 3 комментария
Пригласить эксперта
Ответы на вопрос 2
@ruha02
Учусь работать
Покажи ысе правифла firewall filter
Ответ написан
Комментировать
@zolotykx Автор вопроса
Вот текущие правила:

add action=drop chain=input comment="Drop echo request" icmp-options=8:0 in-interface-list=WAN protocol=icmp
add action=accept chain=input comment="Accept ICMP" protocol=icmp
add action=accept chain=input comment="Accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="Allow remote WinBox access from WAN" dst-port=8291 in-interface-list=WAN protocol=tcp
add action=drop chain=input comment="Drop invalid" connection-state=invalid
add action=drop chain=input comment="Drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="Accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="Drop invalid" connection-state=invalid
add action=drop chain=forward comment="Drop all from WAN not DSTNATed"connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
28 дек. 2024, в 19:01
1500 руб./за проект
28 дек. 2024, в 18:50
1200 руб./в час
28 дек. 2024, в 18:20
50000 руб./за проект