Доброго времени суток.
Столкнулся с проблемой в работе OVPN на Микротик.
Общая инфа: Имеется 2 микротика между ними настроен OVPN соединение (с сертификатами и всеми делами). Микротик-клиент отображается в "Active Connections" PPP раздела Микротика-сервера.
У Микротика сервера имеется 3 vlan'а:
1) Локальная сеть (vlan 1)
2) Спец. сеть (vlan 26)
3) OVPN (vlan 25)
У Микротика-клиента один vlan - 88
Суть проблемы: С Микротика-клиента пингуется только сеть 192.168.25.1, сети 192.168.1.1 и 192.168.26.1 не пингуются. Следовательно не пингуются устройства за ними. Полазил по темам про настройку ovpn на Микротике, но какие-то расхождения с тем что у меня уже настроено не обнаружил.
Как решить данную проблему? Подозреваю, что дело в правилах Firewall.
OVPN между Mikrotik'ами не видно устройств за ними
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
Forged
- Сообщения: 39
- Зарегистрирован: 19 июн 2020, 17:24
Как это выглядит на примере устройств из 33 vlan'а:
-
KARaS'b
- Сообщения: 1197
- Зарегистрирован: 29 сен 2011, 09:16
Не совсем понятно причем тут вланы, ну да ладно, сети есть и уже хорошо.
1) Скриншоты самый неинформативный способ показать что либо.
2) Конфиг - лучший способ показать что либо, дает максимальное понимание происходящего.
3) Иногда просто конфига бывает мало, особенно в сложных сетях, в таких случаях к кофигу стоит добавить схему структуры сети с описанием адресов и пространств адресов за оборудованием.
4) Т.к. конфига и схемы пока что вы не показали, то можно попробовать погадать, например в сторону отсутствующих маршрутов, на обоих устройствах, или хотя бы на одном из них, или же некорректное их написание. Если маршруты все же есть и вы уверены что они правильные, то стоит посмотреть на фаервол, возможно кто-то где-то что-то режет, а что бы это проверить, просто выключите фаервол на время проверок с обеих сторон. Так же не забывайте про фаерволы клиентских устройств, они тоже могут сыграть злую шутку, когда все сетевое оборудование настроено правильно, а клиенты просто не отвечают из-за фаерволов.
В общем еще много всякого интересного можно проверить, но у нас же тут форум по сетевому оборудованию, а не кружок юных черных магов-ясновидцев, гадающих на всем подряд, от кофейной гущи, до перхоти пчелы.
1) Скриншоты самый неинформативный способ показать что либо.
2) Конфиг - лучший способ показать что либо, дает максимальное понимание происходящего.
3) Иногда просто конфига бывает мало, особенно в сложных сетях, в таких случаях к кофигу стоит добавить схему структуры сети с описанием адресов и пространств адресов за оборудованием.
4) Т.к. конфига и схемы пока что вы не показали, то можно попробовать погадать, например в сторону отсутствующих маршрутов, на обоих устройствах, или хотя бы на одном из них, или же некорректное их написание. Если маршруты все же есть и вы уверены что они правильные, то стоит посмотреть на фаервол, возможно кто-то где-то что-то режет, а что бы это проверить, просто выключите фаервол на время проверок с обеих сторон. Так же не забывайте про фаерволы клиентских устройств, они тоже могут сыграть злую шутку, когда все сетевое оборудование настроено правильно, а клиенты просто не отвечают из-за фаерволов.
В общем еще много всякого интересного можно проверить, но у нас же тут форум по сетевому оборудованию, а не кружок юных черных магов-ясновидцев, гадающих на всем подряд, от кофейной гущи, до перхоти пчелы.
-
Forged
- Сообщения: 39
- Зарегистрирован: 19 июн 2020, 17:24
KARaS'b, благодарю за отклик!
Не совсем понял какие конфиги Ваш необходимы. Пробовал полностью отключить все правила фильтрации на обоих Микротиках. Не помогло.
Сеть довольно простая и устроена так:
На Микротик сервер в 1-ый порт приходит интернет с белым IPшником.
На 2-3 порту поднят бридж на 1-ом vlan. Все устройства внутри пингуют 8.8.8.8.
На 5 порте находится бридж с 26 vlanом (сейчас временно 33). Так же устройства внутри пингуют 8.8.8.8
На оба vlan прописаны dhcp сервера с привязкой на бридж.
На данному микротике поднят ovpn сервер. Пробовал к нему подключаться как с микротика клиента, так и с компьютера за микротиком клиентом через Openvpn GUI. Подключение идёт, на сервере в Активных клиентах "повисает" клиент с прикреплённым к нему ip 192.168.25.1.
На Микротик клиент аналогично на 1 порт походит интернет с белым IP
На 2-5 порту поднят бридж на 88 Vlan. Устройства внутри пингуют 8.8.8.8
P.s. Заметил на сервере в ip-->routes при подключении клиента по ovpn появляется маршрут:
Dst. Address: 192.168.25.1
Gateway: ovpn-connect reachable
Pref. Source: 192.168.33.1
Видимо поэтому 192.168.33.1 пингуется с клиента, но это не тот 33 который нужен. Устройства с 1 vlan тоже не пингуются с клиента.
Исходя из этого понятно, что подключенный клиент не видит устройств дальше микротика сервера. Либо просто не знает куда стучаться.
Не совсем понял какие конфиги Ваш необходимы. Пробовал полностью отключить все правила фильтрации на обоих Микротиках. Не помогло.
Сеть довольно простая и устроена так:
На Микротик сервер в 1-ый порт приходит интернет с белым IPшником.
На 2-3 порту поднят бридж на 1-ом vlan. Все устройства внутри пингуют 8.8.8.8.
На 5 порте находится бридж с 26 vlanом (сейчас временно 33). Так же устройства внутри пингуют 8.8.8.8
На оба vlan прописаны dhcp сервера с привязкой на бридж.
На данному микротике поднят ovpn сервер. Пробовал к нему подключаться как с микротика клиента, так и с компьютера за микротиком клиентом через Openvpn GUI. Подключение идёт, на сервере в Активных клиентах "повисает" клиент с прикреплённым к нему ip 192.168.25.1.
На Микротик клиент аналогично на 1 порт походит интернет с белым IP
На 2-5 порту поднят бридж на 88 Vlan. Устройства внутри пингуют 8.8.8.8
P.s. Заметил на сервере в ip-->routes при подключении клиента по ovpn появляется маршрут:
Dst. Address: 192.168.25.1
Gateway: ovpn-connect reachable
Pref. Source: 192.168.33.1
Видимо поэтому 192.168.33.1 пингуется с клиента, но это не тот 33 который нужен. Устройства с 1 vlan тоже не пингуются с клиента.
Исходя из этого понятно, что подключенный клиент не видит устройств дальше микротика сервера. Либо просто не знает куда стучаться.
-
Forged
- Сообщения: 39
- Зарегистрирован: 19 июн 2020, 17:24
Ну и задача: иметь возможность подключиться с помощью ovpn к устройствам в 33 vlan (т.е. по сути открыть доступ к устройствам за 5 портом).
Есть желание перенастроить это дело, но нужно среди большого количества мануалов найти более подходящий. Если таковой есть был бы благодарен за ссылочку на него. Спасибо
Есть желание перенастроить это дело, но нужно среди большого количества мануалов найти более подходящий. Если таковой есть был бы благодарен за ссылочку на него. Спасибо
-
bst-botsman
- Сообщения: 219
- Зарегистрирован: 13 окт 2018, 20:53
- Откуда: Беларусь
А клиент вообще знает что пакеты для подсети 192.168.33. нужно отправлять в туннель OpenVPN???
P.S. Рисуйте схему сети и выкладывайте конфиги...
RB3011UiAS x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
СКЗИ "BAS" x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
СКЗИ "BAS" x 1
-
Forged
- Сообщения: 39
- Зарегистрирован: 19 июн 2020, 17:24
Да, в routes прописано, что 192.168.33.0/24 - это ovpn. Сделал похожую настройку на микротике сервере и пинганул сеть за клиентом. Та же фигня, 192.168.88.1 пингуется, дальше - нет.bst-botsman писал(а): ↑22 июн 2020, 07:19А клиент вообще знает что пакеты для подсети 192.168.33. нужно отправлять в туннель OpenVPN???
-
bst-botsman
- Сообщения: 219
- Зарегистрирован: 13 окт 2018, 20:53
- Откуда: Беларусь
Не ping-ом единым...
Во-первых - состояние файрвола на клиентских устройствах.
Во-вторых - что говорит tracert (Windows) или traceroute (Linux).
В-третьих - Вы так и не показали ни схему сети ни конфигурацию Mikrotik-ов.
Во-первых - состояние файрвола на клиентских устройствах.
Во-вторых - что говорит tracert (Windows) или traceroute (Linux).
В-третьих - Вы так и не показали ни схему сети ни конфигурацию Mikrotik-ов.
RB3011UiAS x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
СКЗИ "BAS" x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
СКЗИ "BAS" x 1
-
Forged
- Сообщения: 39
- Зарегистрирован: 19 июн 2020, 17:24
Кажется заработало 
, пересобрал сеть и в NAT Создал правило:
Chain: srcnat
Src. Address: 192.168.26.0/24 // Сеть OVPN
Dst. Address: 192.168.33.0/24 // Сеть для подключения устройств
Action: src-nat
To Addresses: 192.168.33.1
Сейчас буду менять vlan на нужный и тестить.
, пересобрал сеть и в NAT Создал правило: Chain: srcnat
Src. Address: 192.168.26.0/24 // Сеть OVPN
Dst. Address: 192.168.33.0/24 // Сеть для подключения устройств
Action: src-nat
To Addresses: 192.168.33.1
Сейчас буду менять vlan на нужный и тестить.
-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
С некоторыми оговорками можно сказать, что "и так тоже можно".
Telegram: @thexvo