Серега Кузьмин: потому что порядок обработки пакетов следующий:
1. Входящие пакеты
2. Маршрутизируемые пакеты
3. Исходящие
Ты разрешает маршрутизировать пакеты rdp пришедшие с айпи адреса из списка, но до маршрутизации пакет не доходит и отбрасывается правилом №16.
По поводу основного вопроса. Вот ты сейчас снова привёл правила нат микротика и из них видно, что опять включен нат пакетов отправляемых чере опенвпн... Чтобы связь между сетями работала как нужно, требуется отключения ната с обоих сторон! Будь внимательней!
Отключай правило ната №2 на микротике и все правиле на сервере и проверяй заного
Серега Кузьмин: можете временно убрать эти правила?:
MASQUERADE all -- 192.168.0.0/16 0.0.0.0/0
MASQUERADE all -- 10.8.0.0/24 0.0.0.0/0
по идее в этих правилах и должна быть проблема, т.к. при передаче icmp в сеть 192.168.1.0, в пакете подменяется src dst адрес на 10.8.0.1 и ответ уже приходит как бы от другого хоста
если пинги не начнуть ходить, измените ещё 192.168.1.0 10.8.0.1 255.255.255.0 UG 0 0 0 tun0 на 192.168.1.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0 (вы раньше это делали по моему совету, но похоже перезапускали сервер или openvpn)
Серега Кузьмин: вроде всё ок. На всякий случай спрошу, на компьютерах указан шлюз? firewall включен? icmp запросы из другой сети не могут блокироваться на них?
Мне не понятно почему ping src-address=192.168.1.5 192.168.0.5 есть, а обратного нет. Т.к. если icmp ответ приходит, значит маршруты нужные прописаны и они корректны, соответсвтенно и пинг из сети сервера должен проходить.
Проверьте пинг с сервера так ping -I 192.168.0.5 192.168.1.5 есть?
При этом запустите сниффер на микротике, приходят ли icmp пакеты от 192.168.0.5?
Такое возможно ещё, если включен нат на стороне сервера, но, если я правильно понимаю, в выводе команды iptables --list тогда присутствовать такие правила, но их нет. Если всё так, остается одно - настройки сервера openvpn. Команда iroute 192.168.1.0 255.255.255.0 есть в файле расположенном в /etc/openvpn/ccd?
Серега Кузьмин: это уже хорошо. Теперь ping src-address=192.168.1.5 192.168.0.5, если пинг будет, то проверьте пинг с любого компьютера в сети 192.168.1.0 до 192.168.0.5, если всё ок, то теперь проверьте связь до любого компьютера в сети 192.168.0.0
sc enumdepend "mssqlserver"
запустить профайлер, дождаться когда служба остановиться и посмотреть по времени какие последние запросы были, не остановил ли какой-то из них службу
Серега Кузьмин: add default route в вашем случае не нужно. что же делать-то.. присылайте по новой все таблицы маршрутизации, айпи адреса, правила файрволла и ната, посмотрю может где ошибка
Юра: я бы ещё обратил внимание, что содержится в запросах (нет ли в них оператора SHUTDOWN или похожих), которые исполнялись не задолго до отключения службы, и как я уже написал, наличие в автозагрузке или планировщике каких-либо посторонних задач.
Логи ошибок должны храниться в Program Files\Microsoft SQL Server\MSSQL.n\MSSQL\LOG\ERRORLOG, туда тоже заглядывали?
Ваши БД хранятся на локальном жёстком диске или у вас NAS/SAN?
Также стоит посмотреть зависит ли служба ms sql от каких-то других служб.
Серега Кузьмин: оказывается в вашем случае openvpn работает в таком режиме, что создаётся один виртуальный интерфейс tun0 и все клиентские подключения работают через него, не создавая очередной интерфейс tun1, tun2.. У него ip-адрес 10.8.0.1 а шлюз 10.8.0.2. Значит нам нужен маршрут через него: route add -net 192.168.1.0/24 gw 10.8.0.2 dev tun0.
Серега Кузьмин: Если мирокти подключен, то он должен появиться в выводе ifconfig c интерфейсом tunX (где x - любое число) и адресом: 10.8.0.5 P-t-P:10.8.0.6. Тогда почему его нет?
также я не понял что такое "10.8.0.1 gw 10.8.0.2" ?
Серега Кузьмин: судя по этой информации, ip-адрес микротика в тунеле 10.8.0.2, у сервера 10.8.0.1, а по приведенному ранее /ip address print, у микротика должен быть адрес 10.8.0.6, у сервера 10.8.0.5. Либо что-то я не понимиаю, либо ip-адреса поменялись, либо схема подключения на самом деле отличается от той, что вы описали
1. Входящие пакеты
2. Маршрутизируемые пакеты
3. Исходящие
Ты разрешает маршрутизировать пакеты rdp пришедшие с айпи адреса из списка, но до маршрутизации пакет не доходит и отбрасывается правилом №16.
По поводу основного вопроса. Вот ты сейчас снова привёл правила нат микротика и из них видно, что опять включен нат пакетов отправляемых чере опенвпн... Чтобы связь между сетями работала как нужно, требуется отключения ната с обоих сторон! Будь внимательней!
Отключай правило ната №2 на микротике и все правиле на сервере и проверяй заного