Почему Mikrotik OpenVPN клиент не подключается к серверу?

Question

[fdroid]

OVPN-сервер - Ubuntu 16.04, клиент - Микротик (ROS 6.42.6). Firewall настроен так:

[fdroid@mikrotik] /ip firewall filter> print 
Flags: X - disabled, I - invalid, D - dynamic 
 0    ;;; Allow IGMP
      chain=input action=accept protocol=igmp in-interface=ether1wan log=no log-prefix="" 

 1    ;;; IPTV UDP incoming
      chain=input action=accept protocol=udp in-interface=ether1wan dst-port=1234 log=no log-prefix="" 

 2    ;;; IPTV UDP forwarding
      chain=forward action=accept protocol=udp dst-port=1234 log=no log-prefix="" 

 3    ;;; Allow ICMP
      chain=input action=accept protocol=icmp log=no log-prefix="" 

 4    ;;; default drop
      chain=input action=drop in-interface=ether1wan log=no log-prefix=""

OVPN-соединение настроено и моментально подключается при отключении 4-го правила default-drop. На предыдущей конфигурации микротика тоже всё работало, но там я не мудрствуя лукаво настроил через Quick Set, сейчас же потихоньку настраиваю на чистой конфигурации. Похоже, Firewall дропает пакеты от OVPN-сервер и не даёт установить соединение. Следовательно, нужно перед дропом прописать правило, которое позволит серверу взаимодействовать с клиентом. Вопрос в том - какое правило нужно добавить?

Comments

[Strabbo]

можно забтраблшутить.

;;; default drop
chain=input action=drop in-interface=ether1wan log=no log-prefix=""

log=no поменяйте на log=yes во время подключения в логи будут сыпаться сообщения что и как блокируется и уже исходя из этого можно будет добавлять правила

Answer 1

[fdroid]

Решение: нужно разрешить установленные соединения (правило 4).

0    ;;; Allow IGMP
      chain=input action=accept protocol=igmp in-interface=ether1wan log=no log-prefix="" 

 1    ;;; IPTV UDP incoming
      chain=input action=accept protocol=udp in-interface=ether1wan dst-port=1234 log=no log-prefix="" 

 2    ;;; IPTV UDP forwarding
      chain=forward action=accept protocol=udp dst-port=1234 log=no log-prefix="" 

 3    ;;; Allow ICMP
      chain=input action=accept protocol=icmp log=no log-prefix="" 

 4    ;;; Allow established connections
      chain=input action=accept connection-state=established log=no log-prefix="" 

 5    ;;; default drop
      chain=input action=drop in-interface=ether1wan log=no log-prefix="dropall"