Не проходит трафик в локальную сеть mikrotik через vpn

0

2

Коллеги, добрый день. Подскажите в решении задачки по маршрутизации. Имеем такую схему

https://i.imgur.com/x2j5pYj.png

Локальная сеть(192.168.100.) -> mikrotik(раздает инет в локальную сеть + подключен как openvpn client к vpn серверу, ip клиента [192.168.10.28] + включен masquerade на интерфейс openvpn) vpn сервер (docker + pritunl/openvpn сеть в режиме host ) ip [192.168.10.1] сервер 1 подключен через openvpn client к vpn серверу, ip клиента [192.168.10.3]

Делаем пинг из локальной сети, например до сервер 1. все пинги проходят без проблем

PING 192.168.10.3 (192.168.10.3) 56(84) bytes of data.
64 bytes from 192.168.10.3: icmp_seq=1 ttl=63 time=6.79 ms
64 bytes from 192.168.10.3: icmp_seq=2 ttl=63 time=3.91 ms

А вот если мы например с vpn сервера попробуем пингануть локального клиента или сам mikrotik по 192.168.100.1 ответа уже не получим Если будем пинговать с vpn сервера по ip 192.168.10.28 ответ будет

На впн сервере добавил маршрут 192.168.100.0/24 via 192.168.10.28 dev tun2

Но результата это не принесло. Что еще можно предпринять и в какую сторону копать ?

Правила mikrotik

[admin@MikroTik] /ip route> print 
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 

 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 
 0 A S  0.0.0.0/0                          vpn-local             1
 
 1 A S  0.0.0.0/0                          109.195.36.254            1
 
 2 ADC  109.195.36.0/24    109.195.36.41  ether1                    0
 
 3 ADC  192.168.10.0/24    192.168.10.28   vpn-local             0
 
 4 ADC  192.168.100.0/24   192.168.100.1   bridge1                   0

[admin@MikroTik] /ip firewall nat> print 
Flags: X - disabled, I - invalid, D - dynamic 
0    ;;; all to 41
     chain=srcnat action=masquerade src-address-list=!white_ip out-interface=ether1 log=no log-prefix="" 

1 X  chain=srcnat action=masquerade src-address=10.8.1.0 out-interface=ether1 log=no log-prefix="" 

2    chain=srcnat action=masquerade out-interface=vpn-local log=no log-prefix=""

 [admin@MikroTik] /ip firewall filter> print 
Flags: X - disabled, I - invalid, D - dynamic 
 0 X  chain=input action=drop in-interface=ether1 log=no log-prefix="" 
 
 1    chain=input action=accept protocol=icmp 
 
 2    chain=input action=accept connection-state=established 
 
 3    chain=input action=accept connection-state=related 
 
 4    chain=input action=accept protocol=tcp dst-port=1723 log=no log-prefix=""
 
 5    ;;; vpn
 
      chain=input action=accept protocol=tcp src-port="" dst-port=1723 log=no log-prefix=""
      
 6    ;;; vpn
 
      chain=input action=accept protocol=gre log=no log-prefix=""
      
 7    chain=input action=accept protocol=udp in-interface=ether1 dst-port=1701,500,4500,50,51 log=no log-prefix=""
 
 8    chain=input action=accept protocol=ipsec-esp log=no log-prefix=""
 
 9    chain=input action=accept protocol=l2tp log=no log-prefix=""
 
10    chain=input action=accept protocol=tcp dst-port=1194 log=no log-prefix=""

11    chain=input action=accept in-interface=vpn-local log=no log-prefix=""

12    chain=output action=accept out-interface=vpn-local log=no log-prefix=""

маршруты на тестовой машине (просто подключенной к впн)

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         109x195x36x254. 0.0.0.0         UG    100    0        0 enp6s0
109.195.36.0    0.0.0.0         255.255.255.0   U     100    0        0 enp6s0
172.17.0.0      0.0.0.0         255.255.0.0     U     0      0        0 docker0
192.168.10.0    0.0.0.0         255.255.255.0   U     0      0        0 tun0
192.168.100.0   192.168.10.28   255.255.255.0   UG    0      0        0 tun0
192.168.122.0   0.0.0.0         255.255.255.0   U     0      0        0 virbr0

←	Не приходят ответы на пинг с заданным размером 1400

Блокировка в корпоративной сети

→

Например, разрешить icmp на микроте и на винде.

Anoxemian ★★★★★
(25.01.24 09:47:31 MSK)

вот тут:
OpenVPN ASUS<->Mikrotik (комментарий)
человек мне подсказал куда смотреть.

(должен быть правильный файл с правильным iroute в ccd вашего сервера, в tun «маршруты снаружи» не настраиваются)

Toxo2 ★★★★
(25.01.24 10:26:55 MSK)

Ответ на: комментарий от Anoxemian 25.01.24 09:47:31 MSK

винды нет, на микроте все разрешено. первично пингую его

MrDeff
(25.01.24 11:18:49 MSK) автор топика

Ответ на: комментарий от Toxo2 25.01.24 10:26:55 MSK

у меня на клиентах стоит route-nopull

прописал в ручную route 192.168.100.0 255.255.255.0 192.168.10.28

результата не дало.

MrDeff
(25.01.24 11:19:58 MSK) автор топика

Ты лучше конфиг микротика покажи.

imul ★★★★★
(25.01.24 11:37:16 MSK)

Ответ на: комментарий от imul 25.01.24 11:37:16 MSK

[admin@MikroTik] /ip route> print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit

DST-ADDRESS PREF-SRC GATEWAY DISTANCE

0 A S 0.0.0.0/0 vpn-local 1

1 A S 0.0.0.0/0 109.195.36.254 1

2 ADC 109.195.36.0/24 109.195.36.41 ether1 0

3 ADC 192.168.10.0/24 192.168.10.28 vpn-local 0

4 ADC 192.168.100.0/24 192.168.100.1 bridge1 0

[admin@MikroTik] /ip firewall nat> print Flags: X - disabled, I - invalid, D - dynamic 0 ;;; all to 41 chain=srcnat action=masquerade src-address-list=!white_ip out-interface=ether1 log=no log-prefix=""

1 X chain=srcnat action=masquerade src-address=10.8.1.0 out-interface=ether1 log=no log-prefix=""

2 chain=srcnat action=masquerade out-interface=vpn-local log=no log-prefix=""

[admin@MikroTik] /ip firewall filter> print Flags: X - disabled, I - invalid, D - dynamic 0 X chain=input action=drop in-interface=ether1 log=no log-prefix=""

1 chain=input action=accept protocol=icmp

2 chain=input action=accept connection-state=established

3 chain=input action=accept connection-state=related

4 chain=input action=accept protocol=tcp dst-port=1723 log=no log-prefix=""

5 ;;; vpn

  chain=input action=accept protocol=tcp src-port="" dst-port=1723 log=no log-prefix=""

6 ;;; vpn

  chain=input action=accept protocol=gre log=no log-prefix=""

7 chain=input action=accept protocol=udp in-interface=ether1 dst-port=1701,500,4500,50,51 log=no log-prefix=""

8 chain=input action=accept protocol=ipsec-esp log=no log-prefix=""

9 chain=input action=accept protocol=l2tp log=no log-prefix=""

10 chain=input action=accept protocol=tcp dst-port=1194 log=no log-prefix=""

11 chain=input action=accept in-interface=vpn-local log=no log-prefix=""

12 chain=output action=accept out-interface=vpn-local log=no log-prefix=""

MrDeff
(25.01.24 12:08:20 MSK) автор топика

Ответ на: комментарий от MrDeff 25.01.24 11:19:58 MSK

прописал в ручную route 192.168.100.0 255.255.255.0 192.168.10.28

я ж говорю - это не работает.

работает только через iroute на сервере по имени клиента.

Toxo2 ★★★★
(25.01.24 13:10:37 MSK)
Последнее исправление: Toxo2 25.01.24 13:13:16 MSK (всего исправлений: 1)

Ответ на: комментарий от MrDeff 25.01.24 11:19:58 MSK

Вы прочитайте внимательно что написано по ссылке которую вам скинул Toxo2

anc ★★★★★
(25.01.24 13:17:38 MSK)
Последнее исправление: anc 25.01.24 13:21:43 MSK (всего исправлений: 1)

Ответ на: комментарий от Toxo2 25.01.24 13:10:37 MSK

а вот это уже проблема

буду пытаться это как-то засовывать это в pritunl который еще и в докере :)

MrDeff
(25.01.24 13:46:29 MSK) автор топика

кому интересно решение.

нашел активатор энтерпрайз версии pritunl там встроена такая штука https://docs.pritunl.com/docs/network-links-1

в итоге просто указал в параметрах клиента и заработало как понимаю он сам прописывает iroute для них

MrDeff
(29.01.24 06:00:37 MSK) автор топика

←	Не приходят ответы на пинг с заданным размером 1400

Admin

Блокировка в корпоративной сети

→

DST-ADDRESS PREF-SRC GATEWAY DISTANCE

Похожие темы