Mikrotik/Routeros завернуть некоторые ip через openvpn — почему не работает роутинг?

Question

[rst630]

Есть сервер на debian:

mode server
topology subnet
proto tcp-server
verb 3
local xxxxxxxxx
mssfix
passtos
#comp-lzo yes
comp-noadapt
mssfix
tun-mtu 1500
#fragment 1460
sndbuf 393216
rcvbuf 393216
push "sndbuf 393216"
push "rcvbuf 393216"
push "dhcp-option DNS 8.8.8.8"
user nobody
group nogroup
duplicate-cn
cipher AES-256-CBC
keysize 256
tls-server
persist-key
persist-tun
persist-local-ip
persist-remote-ip
client-to-client
keepalive 5 40

ca /etc/openvpn/keys/ca.crt
dh /etc/openvpn/keys/dh1024.pem
key /etc/openvpn/keys/server.key
cert /etc/openvpn/keys/server.crt

dev tap
lport 1194
push "route-gateway 10.100.200.1"
#push "redirect-gateway def1 bypass-dhcp"
ifconfig 10.100.200.1 255.255.255.0
ifconfig-pool 10.100.200.2 10.100.200.254 255.255.255.0
log-append /var/log/openvpn_server.log

поднял до него openvpn-client'а в микротике:


все замечательно подключилось, в роуты закинул:


8.8.8.8 прописал туда для теста что бы только его завернуть через vpn.

с самого микротика трейсроут идет до 8.8.8.8 как надо:


А вот с клиента этого микротика нивкакую, просто пропадает пинг до 8.8.8.8 когда прописываешь маршрут на микротике.

Похоже я что-то напарил в фаерволе или что-то забыл добавить. Нужно что бы все клиенты могли получать доступ к определенным ip через openvpn.



ether1 это WAN, ether2 LAN



Вроде все показал что касается конфига, если что-то еще нужно для понимания ситуации - пишите.

Answer 1

[Denis Melnikov]

Вам бы еще одно правило src-nat, для openvpn ( аналогично ether1 )

По вопросу

к определенным ip

Тут нужно делать adress list, впихивать туда ваши IP, далее в правилах mangle , в цепочке pre-routing сделать правило, что если кто то тапает на адрес из списка, пометить это соединение, после уже гнать его на маршрут.

Comments

[rst630]

не помогло

[Denis Melnikov]

rst630, в NAT , не нужен routing mark. Он нужен в маршруте.

Answer 2

[Valentin Barbolin]

Наверное на удаленном сервере нет маршрута в локальную сеть)

Comments

[rst630]

хм, а как же тогда работает когда коннектишься напрямую из винды клиентом openvpn? Получается мне на сервере надо прописать маршрут до 192.168.0.0/24 через 10.100.200.1(адрес vpn сервера) ?

[Valentin Barbolin]

> хм, а как же тогда работает когда коннектишься напрямую из винды клиентом openvpn?
Логично, что в таком случае сервер общается с клиентом через IP внутри VPN канала, и ему не надо знать реальный IP клиента в локальной сети.

> Получается мне на сервере надо прописать маршрут до 192.168.0.0/24 через 10.100.200.1(адрес vpn сервера) ?

На сервере должен быть маршрут в локальную сеть через IP адрес микротика внутри VPN. Или маскарадить (NAT) трафик в VPN на микротике.

[rst630]

Andrey Barbolin, у меня почемуто нет пинга с сервера до 10.100.200.2 - это ип который получает микротик при коннекте к vpn

[Valentin Barbolin]

Firewall ?