Да, только с этой машины (если я вас, конечно, правильно понял)...А с другой машины - это как?
input chain - соединения, конечной точкой которых является хост
output chain - соединения, начальной точкой которых является хост
forward chain - соединения, которые проходят через хост; хост не является ни начальной точкой соединений, ни конечной
Шамиль, надо лог смотреть, а так тоже такая проблема была. Помогла задержка объявления марштрута после установки соединения:
route 172.16.0.0 255.255.0.0
route-delay 5
Не знаю как сейчас, но раньше обозначение в режиме клиента или в режиме сервера работает ovpn определялось отдельным параметром, протокол отдельным параметром.
Т.е.:
client
proto udp
В любом случае новые версии ovpn поддерживают старые конфиги без проблем.
Микротик же как не поддерживал udp, так и продолжает не поддерживать. И вообще реализация ovpn-сервера в ROS такая, что плакать хочется.
Гугление показало, что обычно такая ошибка возникает при невозможности назначить IP клиентам.
Проверяйте в profile, привязанным к серверу, указан ли local address и remote address.
Кирилл Жиляев, что значит ничего не работает? Всё прекрасно работает, просто времени на передачу и подтверждение доставки требуется больше при плохом канале. Пинг растёт, то есть. Но, как бы, то, что чувствительно к пингу - tcp и не использует.
Александр,
Ну вот если FastProxy постоянно меняет геолокацию - будет вылетать. Ещё раз: гугл очень болезненно на это реагирует. Из соображений безопасности, понятное дело. Синхронизация хрома с гуглоаккаунтом не слетает при этом.
Если дело таки в геолокации, то сброс настроек и кэшей не поможет. Только надавать по сусалам расширению. Frigate, например, направляет трафик через прокси только когда видит блокировку, или по спискам.
Бывает, что хром начинает чудить из-за старых кэшей и свалки в куках, но это редкость и не тот случай, скорее всего.
Николай,
Как показывает практика - если пользователь работает за рабочей станцией, а не занимается посторонними вещами, то разницы особой не замечает. KDE ставите, как наиболее похожий визуально на гуй win7, и в путь.
Ответ на вопрос как сделать "всё запрещено что не разрешено" указан в моём ответе, и указан правильно. Что разрешать в сторону и со стороны wan, а что внутри lan - другой вопрос.
Бррр. Ну раз работает - хорошо. Но не дай боже Вам по прошествии некоторого времени забыть как это работает)) Лучше зарисуйте)
А нетмап, вообще говоря, и существует для nat'инга между разными подсетями, так что он бы помог.
user2k,
Клиент должен доверять серверу, а сервер должен доверять клиенту. В случае использования логина/пароля - сервер доверяет клиенту на основании логина/пароля, а вот клиент доверяет серверу на основании проверки его сертификата. Если клиент не доверяет CA, который подписал сертификат сервера - то он не может доверять и серверу.
При этом добавление в доверенные корневые центры сертификации сертификата сервера, в котором в key usage отсутствует cert sign - не поможет, т.к. такой сертификат не является сертификатом центра сертификации. Но если cert sign присутствует - то можно добавить в доверенные сам сертификат сервера.
input chain - соединения, конечной точкой которых является хост
output chain - соединения, начальной точкой которых является хост
forward chain - соединения, которые проходят через хост; хост не является ни начальной точкой соединений, ни конечной