Как в моём случае пробросить порты для работы OpenVPN на MikroTik?

Question

[papabig]

Имеется белый IP адрес, но из интернета он не пингуется. Настроил сервер OpenVPN на микротике, открыл 443 порт. Клиенту скинул сертификат, указал белый IP и порт, но клиент не подключается. В логах сервера нет никаких запросов. Клиент будто не знает о существовании такого IP.
Так же на микротике есть l2tp IPsec подключение, которое работает только у 1 клиента, попытки подключить к нему кого-то еще приводят к тому, что пингуется внутренний адрес роутера, но в сеть не пускает.
Еще один момент, на роутере провайдера, который 192.168.1.1 и на микротике стоит проброс 35351 порта, который указывает на 192.168.100.240

Comments

[idShura]

Конфиг сервера OpenVPN показывай. И зачем ты используешь порт 443 для подключения пользователей OpenVPN?

[papabig]

idShura, я надеялся, что хотя бы на 443 заведется, потому что до этого перепробовал и 1194 и 35351 и произвольные.
А как мне вытащить конфиг из микротика? Или скрина настроект ovpn сервера достаточно?

Answer 1

[papabig]

По итогу отключил OpenVPN на Микротике и настроил его на сервере. На lte роутере сделал проброс порта до Микротика, дальше на Микротике пробросил этот порт на сервер.
Изначально задача стояла, запустить RDP на сервере для удаленных пользователей. Задачу выполнил не полностью, из офиса они так и будут заходить через через 192.168.100.240, удаленно через OpenVPN заходят по 10.10.10.1.

UPD
Решил вопрос еще проще. Перевёл LTE роутер в DMZ, на Mikrotik настроил sstp сервер, выдал пул адресов для удаленных пользователей и в файрволле настроил им доступ в сеть.

Answer 2

[Антон Кокарев]

Имеется белый IP адрес, но из интернета он не пингуется.

Для начала разрешите входящие icmp пакеты, чтобы роутер начал отвечать на ping. Если по прежнему не отвечает, убедитесь что ваш IP белый =)

Comments

[papabig]

Не пингуется. telnet выдает ошибку, а через tracert маршрут обрывается на одном из ip провайдера (тот, на котором сервер). Но ведь когда я делаю обычное VPN подключение через винду, то указываю настройки l2tp и ставлю наш белый ip и винда подключается, но пингует только роутер

Answer 3

[d-stream]

То что обозначено на схеме как "LTE" скорее всего работает NAT, Соответственно это устройство надо как минимум учить пробрасывать нужные порты до микротика. Иначе останется только вариант инициации соединений изнутри.

Comments

[papabig]

да, я могу на нём пробросить маршруты, один маршрут уже настроен человеком, который сделал нам l2tp. По его словам, чтоб пользоваться этим l2tp, как VPNом, нужно настроить маршруты у каждого пользователя, но нам это не подходит. Поэтому я хотел настроить OpenVPN, но и с ним проблема.

[d-stream]

papabig, можно "превратить" LTE коробочку в почти прозрачную, порыв в ее настройках что-нибудь на тему DMZ - то есть чтобы все пришедшее к ней летело на микротик. Дальше практически все сведется к типовому варианту "openvpn mikrotik"

Answer 4

[korsar182]

Сбросьте вывод
/ip firewall filter export compact

Comments

[papabig]

/ip firewall filter export compact
# apr/05/2020 17:48:31 by RouterOS 6.44.3
# software id = NTYY-PJHF
#
# model = RB760iGS
# serial number = A8150AC4FC7D
/ip firewall filter
add action=accept chain=input dst-port=35351 protocol=tcp
add action=accept chain=input comment=WinBox connection-state="" dst-port=28291 \
    protocol=tcp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input port=1701,500,4500 protocol=udp
add action=accept chain=output out-interface-list=internet port=1701,500,4500 \
    protocol=udp
add action=accept chain=input comment="CAPsMAN accept all local traffic" \
    dst-address-type=local dst-port=5246,5247 protocol=udp src-address-type=\
    local
add action=drop chain=input comment="drop service" dst-port=\
    69,111,135-139,445,548 protocol=tcp
add action=drop chain=input dst-port=69,111,135-139,548 protocol=udp
add action=drop chain=input protocol=ipv6-encap
add action=drop chain=input protocol=ipv6-frag
add action=drop chain=input protocol=ipv6-nonxt
add action=drop chain=input protocol=ipv6-opts
add action=drop chain=input protocol=ipv6-route
add action=drop chain=input protocol=icmpv6
add action=drop chain=input comment="drop invalid connections" \
    connection-state=invalid in-interface-list=internet
add action=accept chain=input comment="Input CAPSMAN" in-interface=\
    bridge-capsman src-address=192.168.99.0/29
add action=drop chain=input in-interface=bridge-capsman
add action=accept chain=input comment="Input Lan" in-interface-list=lan \
    src-address-list=LOCAL_LAN
add action=accept chain=input dst-address=255.255.255.255 dst-port=67 \
    in-interface-list=lan protocol=udp src-address=0.0.0.0 src-port=68
add action=drop chain=input in-interface-list=lan
add action=drop chain=input comment="short udp" in-interface-list=internet \
    packet-size=0-28 protocol=udp
add action=accept chain=input comment=SSH connection-state=\
    established,related,new dst-port=2200 protocol=tcp src-port=1024-65535
add action=accept chain=input comment="Allow established,relate connections" \
    connection-state=established,related
add action=drop chain=input comment="Block All wan" in-interface-list=internet
add action=drop chain=forward comment="Deny invalid forward" connection-state=\
    invalid
add action=drop chain=forward comment="Deny not DSTNAT from WAN" \
    connection-nat-state=!dstnat connection-state=new in-interface-list=\
    internet
add action=accept chain=forward comment="Internet Allow" in-interface=\
    bridge-lan out-interface-list=internet src-address=192.168.100.0/24
add action=accept chain=forward comment="Internet Allow" dst-address=\
    192.168.100.0/24 in-interface-list=internet out-interface=bridge-lan
# l2tp-in1 not ready
add action=accept chain=forward comment="l2tp to internet" in-interface=\
    l2tp-in1 out-interface-list=internet src-address=192.168.7.0/24
# l2tp-in1 not ready
add action=accept chain=forward comment="l2tp to internet" dst-address=\
    192.168.7.0/24 in-interface-list=internet out-interface=l2tp-in1
# l2tp-in1 not ready
add action=accept chain=forward comment="l2tp to lan" in-interface=l2tp-in1 \
    out-interface-list=lan src-address=192.168.7.0/24
# l2tp-in1 not ready
add action=accept chain=forward comment="l2tp to lan" dst-address=\
    192.168.7.0/24 in-interface-list=lan out-interface=l2tp-in1
add action=accept chain=forward in-interface=bridge-guest out-interface-list=\
    internet src-address=192.168.101.0/24
add action=accept chain=forward dst-address=192.168.101.0/24 in-interface-list=\
    internet out-interface=bridge-guest
add action=drop chain=forward

[korsar182]

papabig, у Вас не открыт порт в фаерволле для входящих соединений. Выполните команду

/ip firewall filter add action=accept chain=input dst-port=443 protocol=tcp place-before=0

На роутере провайдера порт 443 проброшен на микротик?

[papabig]

korsar182,
Нет, не проброшен, попробую сейчас сделать всё, посмотрю, что получится.

Answer 5

[АртемЪ]

Имеется белый IP адрес, но из интернета он не пингуется

Ну тут могут быть варианты - адрес не белый.
ICMP заблокирован
Хост банально выключен.

В общем для начала - вы уверены что адрес белый? Какие первые цифры вашего белого IP адреса, который прописан на роутере?
Учитывая что речь идет про LTE - с вероятностью 90% у вас серый адрес.