На микротике 192.168.1.1 - Src.addr - 192.168.1.0/24 (первая подсеть), Dst.addr 10.8.1.0/24 (с какой сетью за вторым маршрутизатором связь наладить надо надо), SA Dst.addr 192.168.2.104 (ovpn сервер во второй сети). Стоит галочка на "tunnel". Остальные настройки по умолчанию. Верно? Теперь надо настроить фазу 2.
mureevms, так как (указывал выше) менять конфиг на клиенте не очень приемлемо... я изменил конфиг на сервере USA-VPS... дообавив туда аналог клиенткой опции "route" - серверную "push route"...
push "route 543.945.453.272 255.255.255.255 net_gateway" (такого формата)
Скажите, это корректно же?
и... кажется все получилось) По крайней мере будучи дома... я могу пинговать подсеть x.x.2.0 в офисе... и при этом на 2ip светится мой адрес удаленной VPSки из США. И даже IP из подсети x.x.1.80 в офисе пингуется (хотя у меня дома такая же локальная подсеть).
Еще проверю завтра на работе в "боевых условиях". Пока что большое спасибо за помощь) Надеюсь все получилось так как должно было быть). Все таки пришлось использовать прямые IP.. но думаю сменить их на 3х серверах не так сложно будет, в случае смены внешнего IP у провайдера. Да и это будет на серверах и пользователей в таком случае не затронет. Главное не забыть.
mureevms, ничего криминального. Просто для удобства работы с поставщиками и банками. Чтобы от нас всегда весь трафик шел не с кучи адресов, которые у разных сотрудников дома и в самих наших офисах, а всего лишь с трех-четырех.
То есть мне задать "route-up /путь/к/bat/файлу", в которому будет команда "route add ..."?
А как быть с маршрутом, если IP внешний не ведет напрямую на OVPN сервер?
mureevms, по возможности хотелось бы делать это не на стороне клиентов. Это реально? Просто какие то конфиги менять на клиенте - всегда подключаться к ним по тимвиверу тому же. Скажем так... есть трудности и неудобства с этим. Это единственный путь?
Плюс важно чтобы работало все по одиночке. Отдельно запущенный тунель в локалку/отдельно запущенный тунель на впс/одновременно оба запущенные/не запущен ни один. И чтобы все 4 варианты не влияли друг на друга своими настройками.
До IP адреса в который резолвится доменное имя сервера
IP ведет на микротик и уже он пробрасывает порт. Плюс IP может быть изменен и потом придется править все конфиги у клиентов на домашних компах. Очень неудобное решение для нас(
mureevms, оба сервера наши. Просто второй (для прокидывания инета) на ВПСке арендованной. Есть варианты с такими условиями?) На самом деле vpsки 3. В Штатах, Швеции и Нидерландах. Настройки везде одинаковые. Доступ к ним полный.
Можете еще сильнее подтолкнуть к решению?) Можно ногой. ОпенВпн "локалки" работает на вирте в сетке x.x.2.0 (шлюз x.x.2.1). Локалки x.x.1.0 и x.x.2.0
Не на клиенте можно этот вопрос решить? Через конфиг openvpn на сервере например.
Сейчас на сервере 2 такие строчки
push "route 192.168.2.0 255.255.255.0"
push "route 192.168.1.0 255.255.255.0"
"прописать статический маршрут до сервера "VPN в локальной сети" через провайдерский шлюз по умолчанию."
До IP адреса в локальной сети? ВМка имеет IP 192.168.2.104. Но подключение к VPN проводится по доменному имени микротика и, далее, через проброс портов.
Melkij, да, вызвал эту команду и он стал выводить мне миллионы ссылок... бесконечно. Я понимаю что вы были правы. То есть для системы эти "ссылки" сейчас как обычные файл и их не различить при копировании? Как мне скопировать архивы почты, без дублирующихся данных?
