Почему не работает OVPN server за NAT`ом Mikrotik?

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
aleksandr.lyuft
Сообщения: 1
Зарегистрирован: 22 фев 2023, 14:47

Есть OVPN server на UBUNTU, есть удаленные клиенты этого сервера. Сейчас основной роутер Zyxel kenetik lite 3, nat включен, порт UDP 1194 для OVPN проброшен. Появилась необходимость заменить на Mikrotik RB3011UiAS и клиенты OVPN перестали видеть сервер, проброс порта так же сделал. Не могу понять в чем проблема, ибо тема для меня новая. Куда смотреть и что править?


Конфиг:

# feb/20/2023 16:48:07 by RouterOS 6.48.3
# software id = AEL9-JNF2
#
# model = RB3011UiAS
# serial number = E14E0E228C0D
/caps-man channel
add band=2ghz-b/g/n control-channel-width=20mhz frequency=2437 name=\
TobaccoGroup2G
add band=5ghz-a/n/ac control-channel-width=20mhz frequency=5300 name=\
TobaccoGroup5G
/interface bridge
add admin-mac=2C:C8:1B:26:A4:A9 auto-mac=no comment=defconf name=bridge
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes local-forwarding=yes name=\
TobaccoGroup_DataPath
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm name=\
TobaccoGroup_Security passphrase=B@rrettM82
/caps-man configuration
add channel=TobaccoGroup2G country=russia3 datapath=TobaccoGroup_DataPath \
hw-protection-mode=rts-cts installation=any mode=ap name=\
TobaccoGroup2G_CFG rx-chains=0,1,2 security=TobaccoGroup_Security ssid=\
TobaccoGroup2G tx-chains=0,1,2
add channel=TobaccoGroup5G country=russia3 datapath=TobaccoGroup_DataPath \
hw-protection-mode=rts-cts installation=any mode=ap name=\
TobaccoGroup5G_CFG rx-chains=0,1,2 security=TobaccoGroup_Security ssid=\
TobaccoGroup5G tx-chains=0,1,2
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.3.10-192.168.3.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=\
TobaccoGroup2G_CFG name-format=prefix-identity name-prefix=2G
add action=create-dynamic-enabled hw-supported-modes=ac,an \
master-configuration=TobaccoGroup5G_CFG name-format=prefix-identity \
name-prefix=5G
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.1.2/16 comment=defconf interface=bridge network=\
192.168.0.0
add address=0.0.0.0/24 interface=ether1 network=0.0.0.0
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.0.0/16 comment=defconf gateway=192.168.3.1 netmask=16
/ip dns
set allow-remote-requests=yes servers=\
0.0.0.0,0.0.0.0,78.88.8.8,8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.1.2 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related disabled=yes
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new disabled=yes in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
add action=netmap chain=dstnat comment=OVPN2 dst-port=1194 in-interface=\
ether1 log=yes protocol=udp to-addresses=192.168.5.140 to-ports=1194
add action=netmap chain=dstnat comment=OVPN1 dst-port=1194 in-interface=\
ether1 log=yes protocol=tcp to-addresses=192.168.5.140 to-ports=1194
add action=dst-nat chain=dstnat comment=ZABBIX dst-port=32167 in-interface=\
ether1 protocol=tcp to-addresses=192.168.5.140 to-ports=10051
add action=dst-nat chain=dstnat comment="LM NoIP" dst-port=12391 \
in-interface=ether1 protocol=tcp to-addresses=192.168.5.133 to-ports=5655
/ip route
add distance=1 gateway=0.0.0.0
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=MikroTik-Main
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN


Ответить