Как настроить Site-to-site OpenVPN между роутерами Mikrotik и DD-WRT?

Question

[dhemming]

Всем доброго времени суток!
Уже несколько дней пытаюсь настроить вот такую кофигурацию:
Есть роутер Asus RT-N18U с прошивкой DD-Wrt. На нём поднят OpenVPN сервер.
Есть роутер Mikrotik HeX. Он выступает в качестве OpenVPN Клиента.
Локальная подсеть роутера Asus 192.168.1.0/24
Локальная подсеть роутера Mikrotik 192.168.2.0/24
Подсеть OpenVPN тунеля 192.168.4.0/24
Соединение между клиентом и сервером есть, устройства из подсети клиента могут спокойно пинговать устройства из подсети сервера.
Но проблема в том, что обратно (т.е. из подсети сервера в подсеть клиента) пинг не проходит.

Полагаю, что проблема кроется в том, что я не понимаю, как настроить Firewall на клиенте - роутере Mikrotik. Сейчас в конфиге Firewall на клиенте есть только одно правило, разрешающее входящий трафик на интерфейсе OpenVPN подключения.

Кто может подсказать - как нужно настроить Firewall и NAT на клиенте OpenVPN Mikrotik для прохождения трафика из подсети сервера в подсеть клиента?

Правила Firewall с DD-WRT пригалагаю:

iptables -I INPUT 1 -p tcp --dport 1194 -j ACCEPT
iptables -I FORWARD 1 --source 192.168.1.0/24 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -A FORWARD -s 192.168.4.0/24 -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -o eth0 -j MASQUERADE

Если потребуется какая-то дополнительная информация - готов её предоставить : )

Answer 1

[Gregory]

на mikrotik НЕ должно быть правила блокирующее OpenVPN , и вам нужно добавить маршруты на двух роутерах.
mikroitk по openvpn ip получает?

Comments

[dhemming]

Gregory, Большое спасибо за проявленный интерес к моему вопросу!

1. mikroitk по openvpn ip получает?
Mikrotik по OVPN IP адрес получает. Из сети сервера OVPN могу пинговать IP Mikrotik, из диапазона 192.168.4.0/24. Но дальше, в локальную сеть за клиентом, пинги из локальной подсети за сервером не проходят.

2. Маршруты.
На роутере DD-WRT во вкладке Setup-Advanced Routing добавлен маршрут до сети 192.168.2.0/24. Шлюзом указан адрес Mirkotik из подстети OVPN.

На роутере Mikrotik есть маршрут до сети за сервером - 192.168.1.0/24

Больше никаких дополнительных маршрутов не прописывал.

3. Firewall.
Вот вывод команды ip firewall filter print на Mikrotik( OVPN клиент):

Flags: X - disabled, I - invalid, D - dynamic 
 0    ;;; VPN Accept_PPTP
      chain=input action=accept in-interface=VPN_Home log=no log-prefix="" 

 1 X  ;;; VPN Accept_OVPN
      chain=input action=accept in-interface=ovpn-outHOME log=no log-prefix="" 

 2 X  chain=forward action=accept src-address=192.168.4.0/24 dst-address=192.168.2.0/24 out-interface=ovpn-outHOME log=no log-prefix="" 

 3 X  chain=output action=accept out-interface=ovpn-outHOME log=no log-prefix="" 

 4    ;;; SNMP Protocol Accept
      chain=input action=accept protocol=udp dst-port=161 log=no log-prefix="" 

 5    ;;; defconf: accept established,related,untracked
      chain=input action=accept connection-state=established,related,untracked 

 6    ;;; defconf: drop invalid
      chain=input action=drop connection-state=invalid 

 7    ;;; defconf: accept ICMP
      chain=input action=accept protocol=icmp 

 8    ;;; defconf: drop all not coming from LAN
      chain=input action=drop in-interface-list=!LAN log=no log-prefix="" 

 9    ;;; defconf: accept in ipsec policy
      chain=forward action=accept ipsec-policy=in,ipsec 

10    ;;; defconf: accept out ipsec policy
      chain=forward action=accept ipsec-policy=out,ipsec 

11 X  ;;; defconf: fasttrack
      chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix="" 

12    ;;; defconf: accept established,related, untracked
      chain=forward action=accept connection-state=established,related,untracked 

13    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid 

14    ;;; defconf:  drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN 
-- [Q quit|D dump|down]

15    ;;; LTE Modem Accept 
      chain=input action=accept in-interface=lte1 log=no log-prefix=""

Первое правило - это пропуск трафика с PPTP тунеля (он сейчас используется для доступа к сети роутера. Вместо него как раз и хочу настроить OVPN).

Правила Firewall роутера DD-WRT указывал в самом вопросе.

[Gregory]

покажите ваш маршрут на mikrotik, и нужно добавить маршрут до сети 192.168.2.0/24 у DD-WRT

[dhemming]

Gregory,
Удалось найти решение!
Прописал в конфиге сервера OVPN на DD-WRT
client-config-dir /jffs/etc/openvpn/ccd
И соответственно в этой папке разместил файлы с пользовательскими маршрутами.
Также в поле Additional config на DD-WRT добавил маршрут до сети 192.168.2.0/24 следующей командой:
route 192.168.2.0 255.255.255.0

После выполнения этих действий сеть клиента со стороны сервера стала успешно пинговаться.

Но появилась сдедующая проблема:
Помимо Mikrotik в сети есть ещё 2 клиента - один на Windows, другой на Android.
Соответственно для них в папке client-config-dir /jffs/etc/openvpn/ccd создал файлы конфигов этих клиентов.
Но проблема в том, что и клиент на Windows и клиент на Android игнорируют эту настройку и получают не тот IP адрес, что указан в CCD.
Привожу содержимое CCD файлов для каждого из клиентов:
Mikrotik:

ifconfig-push 192.168.4.5 255.255.255.0 
iroute 192.168.2.0 255.255.255.0

Android:
ifconfig-push 192.168.4.2 255.255.255.0
Windows:
ifconfig-push 192.168.4.3 255.255.255.0
Из всех трёх клиентов настройки из файла CCD успешно получает только Mikrotik.
Остальные берут IP произвольно.
В чём может быть проблема?

[Gregory]

клиенты Windows и Android подключены к mikroitk или отдельно?

[dhemming]

Windows клиент пробовал подключать через Wi-Fi точку доступа с телефона.
Android клиент подключал по мобильной сети LTE.

[dhemming]

Gregory,
Ключи и сертификаты у каждого из клиентов свои.

[Gregory]

покажите хоть скриншот с windows что там он там получает

[dhemming]

Gregory, Вот выдержка из логов сервера при подключении клиента.
Причём, в случае с Mikrotik, клиент получает информацию из файла ccd клиента. А вот в случае с клиентом Windows и Android по какой то причине он этот файл игнорирует.

20200519 14:02:30 I TCP connection established with [AF_INET]xxx.xxx.xxx.xxx:xxxxx 
20200519 14:02:31 xxx.xxx.xxx.xxx:xxxxx TLS: Initial packet from [AF_INET]xxx.xxx.xxx.xxx:xxxxx sid= XXX 
20200519 14:02:35 xxx.xxx.xxx.xxx:xxxxx VERIFY OK: depth=1 Cert parameters 
20200519 14:02:35 xxx.xxx.xxx.xxx:xxxxx VERIFY OK: depth=0 Cert parameters 
20200519 14:02:35 xxx.xxx.xxx.xxx:xxxxx NOTE: --mute triggered... 
20200519 14:02:35 xxx.xxx.xxx.xxx:xxxxx 5 variation(s) on previous 3 message(s) suppressed by --mute 
20200519 14:02:35 I xxx.xxx.xxx.xxx:xxxxx [Mobile ] Peer Connection Initiated with [AF_INET]xxx.xxx.xxx.xxx:xxxxx 
20200519 14:02:35 I Mobile /xxx.xxx.xxx.xxx:xxxxx MULTI_sva: pool returned IPv4=192.168.4.2 IPv6=(Not enabled) 
20200519 14:02:35 Mobile /xxx.xxx.xxx.xxx:xxxxx OPTIONS IMPORT: reading client specific options from: /tmp/openvpn_cc_XXXXXX.tmp 
20200519 14:02:35 Mobile /xxx.xxx.xxx.xxx:xxxxx MULTI: Learn: 192.168.4.2 -> Mobile /xxx.xxx.xxx.xxx:xxxxx 
20200519 14:02:35 Mobile /xxx.xxx.xxx.xxx:xxxxx MULTI: primary virtual IP for Mobile /xxx.xxx.xxx.xxx:xxxxx : 192.168.4.2 
20200519 14:02:36 Mobile /xxx.xxx.xxx.xxx:xxxxx PUSH: Received control message: 'PUSH_REQUEST' 
20200519 14:02:36 I Mobile /xxx.xxx.xxx.xxx:xxxxx send_push_reply(): safe_cap=940 
20200519 14:02:36 Mobile /xxx.xxx.xxx.xxx:xxxxx SENT CONTROL [Mobile ]: 'PUSH_REPLY route 192.168.1.0 255.255.255.0 route-gateway 192.168.4.1 topology subnet ping 30 ping-restart 120 socket-flags TCP_NODELAY ifconfig 192.168.4.2 255.255.255.0' (status=1)