Как правильно настроить OpenVPN на mikrotik?

Question

[A2ROKirill]

Всем привет! Создал OpenVPN сервер на Mikrotik. Подключаюсь с клиента Windows, видит маршрутизатор, но не видит хосты в локальной сети Mikrotik. Как победить? Куда смотреть? Спасибо.

Answer 1

[Andrey Barbolin]

Таблицу маршрутизации на ПК после поднятия VPN покажите. Какие IP адреса у хостов в локальной сети?

netstat -nr

Вам надо засунить VPN клиентов в другой pool, например 10.10.30.0/24.
Пересылать пакеты между разными сетями будет микротик.
Тут главное соблюсти правила
- на обоих ПК в качестве основного маршрутизатора должен быть микротик, смотрим netstat -nr
для локального это
0.0.0.0 0.0.0.0 10.10.20.1
для VPN
0.0.0.0 0.0.0.0 10.20.30.1

ИЛИ

Так же не обязательно гонять все трафик через VPN, достаточно на клиенте VPN одно маршрута в локальную сеть.
10.10.20.0 255.255.255.0 10.20.30.1

- должно быть правило на микротике разрешающее трафик между этими сетями.
- не должно быть маскарадинга между этими сетями

У вас вроде маскарад правильно настроен, но не нашел в вашей конфигурации out-interface-list=WAN, какие интерфейсы в него входят.

/ip firewall nat
add action=masquerade chain=srcnat comment="LAN to WAN" ipsec-policy=out,none \
out-interface-list=WAN

Comments

[A2ROKirill]

[A2ROKirill]

Мне нужен доступ до 10.10.20.3 .В локалке Mikrotik 28 маска.

[Andrey Barbolin]

A2ROKirill, уже не плохо. Покажите mikrotik export file=config.

[A2ROKirill]

# sep/12/2019 09:19:40 by RouterOS 6.45.3
# software id = M3PQ-N1DI
#
# model = 2011iL
# serial number = 697B052005B5
/interface bridge
add name=bridgeLAN
/interface ethernet
set [ find default-name=ether2 ] name=Server_WL
set [ find default-name=ether1 ] name=ethWAN
set [ find default-name=ether3 ] arp=local-proxy-arp
set [ find default-name=ether4 ] disabled=yes
set [ find default-name=ether5 ] disabled=yes
set [ find default-name=ether6 ] disabled=yes
set [ find default-name=ether7 ] disabled=yes
set [ find default-name=ether8 ] disabled=yes
set [ find default-name=ether9 ] disabled=yes
set [ find default-name=ether10 ] disabled=yes
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=OVPN_srv_pool ranges=10.10.20.5-10.10.20.15
add name=local_pool ranges=10.10.20.1-10.10.20.15
add name=dhcp_pool10 ranges=10.10.20.5-10.10.20.14
/ppp profile
add bridge=bridgeLAN local-address=10.10.20.1 name=OVPN_server only-one=yes \
remote-address=OVPN_srv_pool use-encryption=yes
/system logging action
add name=ovpn target=memory
/interface bridge port
add bridge=bridgeLAN interface=Server_WL
/ip neighbor discovery-settings
set discover-interface-list=WAN
/interface list member
add comment=defconf interface=Server_WL list=LAN
add comment=defconf interface=ethWAN list=WAN
add interface=bridgeLAN list=LAN
add list=LAN
/interface ovpn-server server
set auth=sha1 certificate=test-srv-OVPN cipher=blowfish128,aes128,aes256 \
default-profile=OVPN_server enabled=yes netmask=28 \
require-client-certificate=yes
/ip address
add address=10.10.20.1/28 comment=LAN interface=bridgeLAN network=10.10.20.0
add address=62.182.90.2/28 comment=WAN interface=ethWAN network=62.182.90.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ethWAN
/ip dhcp-server network
add address=10.10.20.0/28 gateway=10.10.20.1
/ip dns
set allow-remote-requests=yes servers=84.52.107.107,195.177.123.1
/ip firewall filter
add action=accept chain=input comment=VPN dst-port=1194 protocol=tcp
add action=accept chain=input comment="\C4\EE\F1\F2\F3\EF Mikrotik SSH" \
dst-port=1010 protocol=tcp
add action=accept chain=input comment="\C4\EE\F1\F2\F3\EF Winbox" dst-port=\
8291 protocol=tcp
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=log chain=forward disabled=yes dst-port=32111 log=yes log-prefix=\
32111 protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid disabled=yes
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
disabled=yes in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
disabled=yes ipsec-policy=out,ipsec
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid disabled=yes
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new disabled=yes in-interface-list=WAN
add action=accept chain=input dst-port=1194 protocol=tcp
add action=accept chain=forward in-interface=all-ppp
add action=accept chain=forward out-interface=all-ppp
/ip firewall nat
add action=masquerade chain=srcnat comment="LAN to WAN" ipsec-policy=out,none \
out-interface-list=WAN
add action=netmap chain=dstnat comment="\CE\E1\F9\E5\E5 \EF\F0\E0\E2\E8\EB\EE \
\ED\E0 \EF\E5\F0\E5\E0\E4\F0\E5\F1\E0\F6\E8\FE WLocal" dst-address=\
62.182.90.2 dst-port=1-21,23-1192,1196-8289,8293-32000,32003-65535 \
protocol=tcp to-addresses=10.10.20.3
add action=dst-nat chain=dstnat comment="SSH WLocal" dst-address=62.182.90.2 \
dst-port=22 protocol=tcp to-addresses=10.10.20.3
/ip route
add check-gateway=ping distance=1 gateway=62.182.90.1
/ip service
set telnet port=24
set ssh port=1010
/ppp secret
add name=test-user-1 password=P@ssword1 profile=OVPN_server remote-address=\
10.10.20.5 service=ovpn
add name=test-user-2 password=P@ssword2 profile=OVPN_server remote-address=\
10.10.20.6 service=ovpn
/system clock
set time-zone-name=Europe/Moscow
/system logging
add topics=ovpn
add action=ovpn topics=ovpn,debug
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool sniffer
set file-name=check_1 filter-interface=Server_WL filter-ip-protocol=tcp \
filter-port=32111 streaming-server=10.10.20.3

[Andrey Barbolin]

A2ROKirill, Это никуда не годится. Зачем делать клиентов VPN и локальную сеть в одной пуле? Там маршрутизация работать не будет. Вам надо засунить VPN клиентов в другой pool, например 10.10.30.0/24.

/ip pool
add name=OVPN_srv_pool ranges=10.10.20.5-10.10.20.15
add name=local_pool ranges=10.10.20.1-10.10.20.15

[A2ROKirill]

Andrey Barbolin, Ок а как тогда сделать так что бы они видели из этого пула пул 10.10.20.0/28 ?

[Andrey Barbolin]

A2ROKirill, Пересылать пакеты между разными сетями будет микротик.
Тут главное соблюсти правила
- на обоих ПК в качестве основного маршрутизатора должен быть микротик, смотрим netstat -nr
для локального это
0.0.0.0 0.0.0.0 10.10.20.1
для VPN
0.0.0.0 0.0.0.0 10.20.30.1

ИЛИ

Так же не обязательно гонять все трафик через VPN, достаточно на клиенте VPN одно маршрута в локальную сеть.
10.10.20.0 255.255.255.0 10.20.30.1

- должно быть правило на микротике разрешающее трафик между этими сетями.
- не должно быть маскарадинга между этими сетями

У вас вроде маскарад правильно настроен, но не нашел в вашей конфигурации out-interface-list=WAN, какие интерфейсы в него входят.

/ip firewall nat
add action=masquerade chain=srcnat comment="LAN to WAN" ipsec-policy=out,none \
out-interface-list=WAN

[A2ROKirill]

Спасибо огромное ! Заработало.

[Andrey Barbolin]

A2ROKirill, Вынесу последний диалог как решение.