всё, как я и предполагал.
выключаем нат /ip firewall nat disable 1
удаляем неверный маршрут /ip route remove 3
добавляем верный /ip route add dst-address=192.168.0.0/24 gateway=10.8.0.5
удаляем неверный на сервере route delete -net 192.168.1.0
добавляем маршрут на сервере route add 192.168.1.0/24 gw 10.8.0.6
p.s. с корректностью команд для centos могу ошибаться
Серега Кузьмин: ну что-то вы плохо объясняете. В вопросе вообще ничего не было сказано про сеть 10.8.0.0
Значит показывайте:
/ip firewall nat print
/ip address print
/ip route print
Серега Кузьмин: видимо это всё же вопрос к gorczko. Я считаю описанная вами проблема, связана со включенным натом на микротике, и возможно отсутствующем маршруте на сервере openvpn. Вы пробовали проделать то, что я вам предложил?
Михаил М: с dst-address=!192.168.0.0/17 у вас не будут блокироваться подключения к вашим серверам из интернета, можете проверить
а почему 17 подсеть, ваша сеть такая большая?
Михаил М: т.е. сейчас у вас правило выглядит так: action=drop chain=forward connection-state=new dst-port=20,21,3389 protocol=tcp src-address=!192.168.0.0/17 и всё ок?
Михаил М: вы написали, что вам нужно подключаться из вашей сети к сервеарам в других сетях, это правило будет работать, но не подойдёт если требуется подключаться из других сетей к вашим серверам
косяк был в том, что для первого варианта фильтрующие правила применялись для входящих пакетов на заданном интерфейсе, но правила dstnat отрабатывают до фильтрующих правил (на микротике следующий порядок: dstnat, filter,srcnat), т.о. все пакеты обработанные натом нужно ловить на этапе forward
Михаил М: firewall корректно настроен.. могу только предложить удаленно подключиться
для этого нужно создать пользователя с правами на чтение: /user add name=test group=read
ip-адрес ваш внешний
fscomm: если не нужен гигабит на доступе, берите стомегабитные порты на доступ не задумываясь, ничего в этом зазорного нет :) У меня вот тоже сотка на аксессе, и даже сотки за глаза. Фразы типа: "100 мегабит не торт" - мальчишество
Евгений Быченко: только сейчас понял о чём вы говорите, внимательно разглядев свич. Я думал, что у него комбо порты, а оказывается 2 езернет порта консольные, как я понимаю
Евгений Быченко: если можно использовать медь и нет явной необходимости терменировать много оптических линков, то имело бы смысл покупать свич с ethernet портами, т.к. значительно дешевле
выключаем нат /ip firewall nat disable 1
удаляем неверный маршрут /ip route remove 3
добавляем верный /ip route add dst-address=192.168.0.0/24 gateway=10.8.0.5
удаляем неверный на сервере route delete -net 192.168.1.0
добавляем маршрут на сервере route add 192.168.1.0/24 gw 10.8.0.6
p.s. с корректностью команд для centos могу ошибаться