Openvpn не работает нат почему?

Question

[Владислав]

Всем привет, есть маршрутизатор и на нём есть автономная система,и заблокированные сайты провайдера.
Для обхода поднял на vps openvpn, коннект есть, пинги на заблоченные сайты есть, на самом микроте через интерфейс если пинга.
но в сеть абонам ничего не прилетает.
Блок айпи абонов 172.16.0.0/16 адрес внутренненго адреса OVPN туннеля.
Помогите разобраться.

Comments

[res2001]

Вы меня пугаете.
Автономная система на микротике? Или вы что-то другое имеете ввиду под автономной системой?

[Владислав]

res2001, Нет, не пугаю, работает идеально два провайдера в full.

[Wexter]

а где связь openvpn, nat и vps? в каком месте нат не работает? где конфиги? где схемы?

[Владислав]

Wexter,
4 chain=srcnat action=same to-addresses=193.57.47.2 same-not-by-dst=yes src-address=172.16.2.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
5 chain=srcnat action=same to-addresses=193.57.47.3 same-not-by-dst=yes src-address=172.16.21.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
6 chain=srcnat action=same to-addresses=193.57.47.3 same-not-by-dst=yes src-address=172.16.3.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
7 chain=srcnat action=same to-addresses=193.57.47.4 same-not-by-dst=yes src-address=172.16.4.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
8 chain=srcnat action=same to-addresses=193.57.47.4 same-not-by-dst=yes src-address=172.16.41.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
9 chain=srcnat action=same to-addresses=193.57.47.6 same-not-by-dst=yes src-address=172.16.6.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
10 chain=srcnat action=same to-addresses=193.57.47.6 same-not-by-dst=yes src-address=172.16.61.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
11 chain=srcnat action=same to-addresses=193.57.47.8 same-not-by-dst=yes src-address=172.16.8.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
12 chain=srcnat action=same to-addresses=193.57.47.8 same-not-by-dst=yes src-address=172.16.81.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
13 chain=srcnat action=same to-addresses=193.57.47.10 same-not-by-dst=yes src-address=172.16.10.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
14 chain=srcnat action=same to-addresses=193.57.47.12 same-not-by-dst=yes src-address=172.16.12.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
15 chain=srcnat action=same to-addresses=193.57.47.14 same-not-by-dst=yes src-address=172.16.14.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
16 chain=srcnat action=same to-addresses=193.57.47.16 same-not-by-dst=yes src-address=172.16.16.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
17 chain=srcnat action=same to-addresses=193.57.47.18 same-not-by-dst=yes src-address=172.16.18.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
18 chain=srcnat action=same to-addresses=193.57.47.20 same-not-by-dst=yes src-address=172.16.20.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
19 chain=srcnat action=same to-addresses=193.57.47.22 same-not-by-dst=yes src-address=172.16.22.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
20 chain=srcnat action=same to-addresses=193.57.47.22 same-not-by-dst=yes src-address=172.16.221.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
21 chain=srcnat action=same to-addresses=193.57.47.22 same-not-by-dst=yes src-address=172.16.222.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
22 chain=srcnat action=same to-addresses=193.57.47.23 same-not-by-dst=yes src-address=172.16.23.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
23 chain=srcnat action=same to-addresses=193.57.47.24 same-not-by-dst=yes src-address=172.16.24.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
24 chain=srcnat action=same to-addresses=193.57.47.25 same-not-by-dst=yes src-address=172.16.25.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
25 chain=srcnat action=same to-addresses=193.57.47.26 same-not-by-dst=yes src-address=172.16.26.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
26 chain=srcnat action=same to-addresses=193.57.47.27 same-not-by-dst=yes src-address=172.16.27.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
27 chain=srcnat action=same to-addresses=193.57.47.28 same-not-by-dst=yes src-address=172.16.28.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""
28 chain=srcnat action=same to-addresses=193.57.47.30 same-not-by-dst=yes src-address=172.16.30.0/24 dst-address=!172.16.0.0/16 src-address-list=ENABLE log=no log-prefix=""

name="OVPN" mac-address=02:2E:0D:15:BC:FC max-mtu=1500 connect-to=185.229.225.86 port=1194 mode=ip user="root" password="" profile=default certificate=client.crt_0 auth=sha1 cipher=aes256 add-default-route=no

10.8.0.2/24 10.8.0.0 OVPN

172.16.0.0/16 абонентские внутренние адреса,
193.57.47.0/24 блок айпи автономной системы,
10.8.0.2.24 это внутренний адрес VPS.
Например беру, собираю стенд, на абонентском роутере.Поднимаю опенвпн.То всё работает.
Нат работает вот так,
chain=srcnat action=same to-addresses=10.8.0.2 same-not-by-dst=no out-interface=OVPN log=no log-prefix=""

[Serg New]

R - routing, нет, не слышали.

[Владислав]

Serg New, Хорошо что пробросить.Я поднимаю на другом роутере только на абонентском всё работает.

[Gregory]

ip route покажите. По какому принципу настроены 2 провайдера?

[Владислав]

@Maxlinus, по автономке, поднято два пира.Скрины ната.

[Gregory]

лично я нечего не понял:(
покажите весь конфиг.

[Владислав]

Есть протокол BGP, поднято два пира между двумя провайдера, два канала сбалансированы.
На картинке был список NAT.

Answer 1

[Dmitry]

Могу предположить , что неправильно настроена маршрутизация до заблокированных ресурсов из локальной сети - проверьте трассировкой. И ещё, мне кажется, было бы правильнее настроить nat только на vps, и на vps указать обратные маршруты в локалку через openvpn туннель.

Comments

[Владислав]

Если я поднимаю openvpn на обычном роутере mikrotik 941, то всё работает, отлично.

[Dmitry]

Владислав Татаринцев, проверьте трассировку, возможно, во втором случае у вас тоннель становится шлюзом по умолчанию

[Владислав]

Dmitry, судя по всему так и есть,
как тогда быть?
Как мне тогда сделать это всё на сеть 172.16.0.0/16

[Dmitry]

1) сделать address-list с с адресами для которых вы хотите добираться через тоннель. Допустим to_vpn
2) в таблица mangle в цепочке prerouting маркируем пакеты из 172.16.0.0/16 до хостов из нашего адрес-листа
/ip firewall mangle add action=mark-routing chain=prerouting dst-address-list=to_vpn new-routing-mark=tovpn passthrough=no src-address=172.16.0.0/16
3) добавляем маршрут, обрабатывающий пакеты с этой routing-mark

/ip route add distance=1 gateway=10.8.0.1 routing-mark=tovpn
4) на VPN сервере добавляем обратный маршрут в сторону 172.16.0.0/16, либо добавляем masquerade на openVPN interface микротика
убедитесь, что open VPN клиент на микротике не поднимает маршрут по умолчанию через себя