Для OVPN надо какие-то ещё порты?

Question

[fpir]

За маршрутизатором с NAT стоит микротик не котором настраивается OpenVPN сервер. В настройках сервера чётко прописан порт 5000. На шлюза пробрасываю 5000й порт в VLAN микротика - порт закрыт.
Добавляю микротик в DMZ, пишу 2 правила: output - input все порты allow always - VPN поднимается. Меняю в правиле input все порты на 5000 - порт закрыт.
Во всех правилах протоколы - both
OVPN нужны ещё какие-то порты?

Answer 1

[Alexey Dmitriev]

Нет, не нужны.
OpenVPN использует один порт - или UDP или TCP, в зависимости от настроек openvpn сервера.

Answer 2

[ky0]

Нет, со стороны сервера только один порт, указанный в конфиге. У клиентов - как получится, но тоже настраивается.

Answer 3

[Drno]

разрешите входящий порт на openvpn сервер, разрешите любые исходящие, проверьте
клиент по порту ovpn Только первый раз коннектится, дальше он перекидывается на рандомный порт. насколько помню. в настройках ovpn микротика эти порты настроить нельзя

Comments

[fpir]

Вот очень на это похоже.
По вашему совету -

Добавляю микротик в DMZ, пишу 2 правила: output - input все порты allow always - VPN поднимается. Меняю в правиле input "все порты" на 5000 - порт закрыт.

И дальше копать не могу, микротик не мой, просто лично конфиг проверял. Если только прот отзеркалить и вайершарком ковырять. По идее, ситуация всех устраивает, а меня напрягает, во первых непонятка, во вторых её надо будет держать в голове, при составлении правил в будущем.

[Drno]

fpir, ну у меня так. закрыто внутрь всё, кроме DST правил (как по умолчанию рекомендуется в конфиге).
открыт порт для ovpn ( 10000)
На ВЫХОД открыто всё

[Drno]

fpir, мож попробовать другой порт?? типа выше 30000

[fpir]

Drno, вы мне про файрвол самого микротика рассказываете, видимо. У меня тоже что-то такое на микротике(мельком видел правила). Но проблема с файрволом, который перед микротиком.