LINUX.ORG.RU
решено ФорумAdmin

openvpn сервер за микротиком

 ,


0

2

Приветствую! Нужна помощь сообщества.Сервер с ovpn (ОС debian),раньше эта же машина была шлюзом,vpn работал,клиенты видели сеть за сервером,всё ок.Поставил на внешний мир микротик,возникла необходимость,пробросил порт 1194,клиент цепляется,получает адрес,на этом всё.Не хватает знаний для дальнейших действий.Как дать понять микротику,что на машине с ovpn есть интерфейс tun0,и что трафик из подсети 10.8.2.0/24 можно разрешить,и завернуть его на этот интерфейс?И будет ли тогда отрабатывать опция push route на ovpn сервере?И будет ли вообще работать такая связка клиент-Интернет-микротик-ovpn сервер-целевая сеть?

Я вам не покажу схему сети, я вам не покажу конфиги и логи тоже не покажу. Помогайте просто так.

Как дать понять микротику,что на машине с ovpn есть интерфейс tun0

Микротику это не надо знать

и что трафик из подсети 10.8.2.0/24 можно разрешить

Что за подсеть? Внутри туннеля? Так туннель шифрованный, микротик о нём ничего не знает и знать не хочет - он отдает весь трафик VPN серверу (ты же пробросил порт?), который его расшифрует, поймёт что за адреса внутри и с ним разберётся.

И будет ли тогда отрабатывать опция push route на ovpn сервере?

push route на vpn сервере отдаёт маршрут vpn клиенту. Молча будет отрабатывать, как и раньше. Это вообще к делу не имеет отношения.

И будет ли вообще работать такая связка клиент-Интернет-микротик-ovpn сервер-целевая сеть?

Конечно будет, особенно когда ты нарисуешь схему сети, и покажешь конфиги.

Трафик подключенного VPN клиента (или сети за ним) приходит на VPN сервер,
VPN сервер отправляет на комьютер в местной сети,
комьютер местной сети запрос отрабатывает, и поскольку он ничего о VPN клиенте (сети за VPN клиентом) не знает -
ответ отсылает на свой маршрут по-умолчанию - микротик.
Микротик тоже про такую сеть не знает, и скорее всего просто бросает пакет.

Поэтому скажи микротику с помощью дополнительного маршрута (и разрешения в фаерволе, если он запрещает), чтобы запросы от локальной сети к клиенту VPN (или сети за ним) он отправлял на VPN сервер -
VPN сервер сам разберется (он то про VPN клиента и сеть за ним все знает, если правильно настроен), как и раньше и отправит эти пакеты в свой tun интерфейс и соотв. клиенту, который к нему подключен.

zgen ★★★★★ ()
Последнее исправление: zgen (всего исправлений: 5)
Ответ на: комментарий от zgen

Сервер
port 1194
proto udp
dev tun
cipher BF-CBC
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 10.8.2.0 255.255.255.0
ifconfig-poo-persist ipp.txt
push «route 192.168.0.0 255.255.255.0»
tls-auth ta.key
max-clients 20
persist-key
persist-tun
status openvpn-status.log
log /var/log/openvpn.log
verb 3

Клиент
remote 109.75.249.86 1194
client
dev tun
tls-auth ta.key 1
cipher BF-CBC
proto udp
ca ca.crt
cert client3.crt
key client3.key
verb 3

ifconfig сервера
eth1
Link encap:Ethernet HWaddr 60:e3:27:00:07:1c
inet addr:192.168.0.253 Bcast:192.168.0.255
Mask:255.255.255.0
tun0
inet addr:10.8.2.1 P-t-P:10.8.2.2 Mask:255.255.255.255

ip r сервера
default via 192.168.0.254 dev eth1
10.8.2.0/24 via 10.8.2.2 dev tun0
10.8.2.2 dev tun0 proto kernel scope link src 10.8.2.1
192.168.0.0/24 dev eth1 proto kernel scope link src 192.168.0.253

ipconfig на клиенте
Ethernet adapter Подключение по локальной сети 2:
DNS-суффикс подключения . . . . . :
Локальный IPv6-адрес канала . . . :
IPv4-адрес. . . . . . . . . . . . : 10.8.2.14
Маска подсети . . . . . . . . . . : 255.255.255.252
Основной шлюз. . . . . . . . . :


Адаптер беспроводной локальной сети Беспроводное сетевое соединение:
DNS-суффикс подключения . . . . . :
IPv4-адрес. . . . . . . . . . . . : 192.168.1.164
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.1.1

route print на клиенте
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрик
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.164 25
10.8.2.1 255.255.255.255 10.8.2.13 10.8.2.14 20
10.8.2.12 255.255.255.252 On-link 10.8.2.14 276
10.8.2.14 255.255.255.255 On-link 10.8.2.14 276
10.8.2.15 255.255.255.255 On-link 10.8.2.14 276
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.0.0 255.255.255.0 10.8.2.13 10.8.2.14 20
192.168.1.0 255.255.255.0 On-link 192.168.1.164 281
192.168.1.164 255.255.255.255 On-link 192.168.1.164 281
192.168.1.255 255.255.255.255 On-link 192.168.1.164 281
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.1.164 281
224.0.0.0 240.0.0.0 On-link 10.8.2.14 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.1.164 281
255.255.255.255 255.255.255.255 On-link 10.8.2.14 276

ip микротика на интерфейсе в локальную сеть 192.168.0.254
ip ovpn сервера 192.168.0.253
за ними сеть 192.168.0.0/24 с целевыми машинами
клиент подключается к ovpn серверу и получает адрес 10.8.2.14

den777 ()

а что мешает на микротике замутить свой openvpn/pptp сервер ?

,пробросил порт 1194,

tcp/udp ?

Jopich1 ()
Ответ на: комментарий от zgen

Поэтому скажи микротику с помощью дополнительного маршрута (и разрешения в фаерволе, если он запрещает), чтобы запросы от локальной сети к клиенту VPN (или сети за ним) он отправлял на VPN сервер -

Че-то ты загнул. Микротык должен пробросить 1194 порт на сервер и все - больше от него ничего не требуется

Jopich1 ()
Ответ на: комментарий от Jopich1

хотя опять же нихрена не понятно чего хочет ТС: либо чтобы микротык раздавал через DHCP шз адреса новым клиентам, которые подключились через openvn ? Либо чтобы сервер на котором стоит openvpn сервер делал это сам ?

Jopich1 ()
Ответ на: комментарий от den777

сервер ovpn отлично сам раздаёт адреса клиентам,с клиентской машины пингуется его адрес 192.168.0.253,а дальше пока хода нет.

den777 ()
Ответ на: комментарий от Jopich1

Че-то ты загнул. Микротык должен пробросить 1194 порт на сервер и все - больше от него ничего не требуется

Ничоси, а ты, я смотрю, специалист.

А аргументы есть?

zgen ★★★★★ ()
Ответ на: комментарий от zgen

Благодарю за совет!На микротике добавил правило заворачивать пакеты назначенные для vpn сети на интерфейс ovpn сервера,и прописал маршрут,всё работает.

den777 ()

Вернуть сервер назад, микротик продать на али, самому поменять работу. Даже тут тонна схожих тем. «Впн сервер за натом и не является дэфроутоером». Вот прямо совсе-совсем недавно «небыло и вот опять». Что за лень поиском воспользоваться?

anc ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.