Russian Users MikroTik | Форум пользователей MikroTik

Форум поддержи и обмена опытом пользователей оборудования RouterBOARD и операционной системы RouterOS Латвийского производителя MikroTik
https://forummikrotik.ru/

Нет интернета через ovpn client

https://forummikrotik.ru/viewtopic.php?t=14256

Страница 2 из 3

Re: Нет интернета через ovpn client

Добавлено: 09 фев 2023, 15:32
KaNelam
-13- писал(а): 08 фев 2023, 12:26 3 - маркируем connection и routing через address list
оптимизмруем)

Код: Выделить всё

/ip firewall mangle
add action=route chain=prerouting comment="home lan" dst-address-list=RKN passthrough=no route-dst=172.17.1.6 src-address=192.168.25.32/27

Re: Нет интернета через ovpn client

Добавлено: 09 фев 2023, 16:50
-13-
KaNelam писал(а): 09 фев 2023, 15:32
-13- писал(а): 08 фев 2023, 12:26 3 - маркируем connection и routing через address list
оптимизмруем)

Код: Выделить всё

/ip firewall mangle
add action=route chain=prerouting comment="home lan" dst-address-list=RKN passthrough=no route-dst=172.17.1.6 src-address=192.168.25.32/27
route-dst=172.17.1.6 - это куда роут?

Re: Нет интернета через ovpn client

Добавлено: 09 фев 2023, 18:12
podarok66
Ага, и маршрутизация выйдет не для части сайтов, а для всего интернета)) Ну вы тут насоветовали))) Да не путайте вы человека. Пусть он скажет сначала, откуда там столько маршрутов прилетает через гетвэй 10.8.0.45 Есть смутное сомнение в правильности настроек всего и вся. Пусть уж он начинает с самого начала.
* Сервер OpenVPN где, на чём и есть ли доступ?
* Схема сети
* Задачи, выставляемые для туннельного подключения и кто будет пользоваться ( все, админ, группа товарищей)?
Я активно использую OpenVPN в домашних условиях, поэтому довольно хорошо представляю, что там делать при определенном раскладе. А то утащили в Wireguard обсуждение. Ну не может одно и другое быть одинаковым. Ему бы понять то, что настроить пытается, а вы ему своё втюхать пытаетесь. Как торгаши на рынке, право слово...

Re: Нет интернета через ovpn client

Добавлено: 09 фев 2023, 21:40
Retrograd
podarok66 писал(а): 09 фев 2023, 18:12 Ага, и маршрутизация выйдет не для части сайтов, а для всего интернета)) Ну вы тут насоветовали))) Да не путайте вы человека. Пусть он скажет сначала, откуда там столько маршрутов прилетает через гетвэй 10.8.0.45 Есть смутное сомнение в правильности настроек всего и вся. Пусть уж он начинает с самого начала.
* Сервер OpenVPN где, на чём и есть ли доступ?
* Схема сети
* Задачи, выставляемые для туннельного подключения и кто будет пользоваться ( все, админ, группа товарищей)?
Я активно использую OpenVPN в домашних условиях, поэтому довольно хорошо представляю, что там делать при определенном раскладе. А то утащили в Wireguard обсуждение. Ну не может одно и другое быть одинаковым. Ему бы понять то, что настроить пытается, а вы ему своё втюхать пытаетесь. Как торгаши на рынке, право слово...
Сервер не мой, знакомого. Сам ковыряться и искать проблему на сервере он не будет, но что то конкретное посмотрит, если "носом ткнуть". У меня туда доступа нет. Расположен в Нидерландах, поднят на линуксовой машине.
У меня дома несколько устройств и микротик на входе. Нужен внп для работы с некоторыми сайтами, которые ограничивают мне доступ по гео.
Но, давайте начнем с базового, без всякого маркирования и т.д.
По шагам:
1. Сбрасываю роутер на заводские настройки
2. Оставляю дефолтный конфиг, который он мне предлагает.
3. Импортирую пользовательский серт с ключом
4. Настраиваю opvn client, ставлю галку Add default route
5. Успешно подключаюсь к настроенному vpn, получая в логах ошибку "unsupported redirect-gateway flag 'bypass-dhcp'"
6. Интернета нет. С роутера пинг на 8.8.8.8 не проходит.
7. Настраиваю маскарадинг на исходящий интерфейс vpn подключения
8. Интернета нет. С роутера пинг на 8.8.8.8 не проходит.

Насколько я понимаю, при такой настройке весь трафик должен идти через vpn. Если смотреть на сам интерфейс во время попытки что то пингануть/открыть, то видно что туда есть исходящий трафик и изредка проскакивает немного входящего.

Re: Нет интернета через ovpn client

Добавлено: 09 фев 2023, 22:15
KaNelam
-13- писал(а): 09 фев 2023, 16:50
KaNelam писал(а): 09 фев 2023, 15:32
-13- писал(а): 08 фев 2023, 12:26 3 - маркируем connection и routing через address list
оптимизмруем)

Код: Выделить всё

/ip firewall mangle
add action=route chain=prerouting comment="home lan" dst-address-list=RKN passthrough=no route-dst=172.17.1.6 src-address=192.168.25.32/27
route-dst=172.17.1.6 - это куда роут?
на CHR за бугром (L2TP)

Re: Нет интернета через ovpn client

Добавлено: 10 фев 2023, 11:06
-13-
KaNelam писал(а): 09 фев 2023, 22:15
-13- писал(а): 09 фев 2023, 16:50
KaNelam писал(а): 09 фев 2023, 15:32

оптимизмруем)

Код: Выделить всё

/ip firewall mangle
add action=route chain=prerouting comment="home lan" dst-address-list=RKN passthrough=no route-dst=172.17.1.6 src-address=192.168.25.32/27
route-dst=172.17.1.6 - это куда роут?
на CHR за бугром (L2TP)
а если неизвестен IP на том конце? или его сменят?
проще уж через роутинг с маркировками (ну мне по крайней мере)

Re: Нет интернета через ovpn client

Добавлено: 10 фев 2023, 20:15
KaNelam
-13- писал(а): 10 фев 2023, 11:06
KaNelam писал(а): 09 фев 2023, 22:15
-13- писал(а): 09 фев 2023, 16:50

route-dst=172.17.1.6 - это куда роут?
на CHR за бугром (L2TP)
а если неизвестен IP на том конце? или его сменят?
проще уж через роутинг с маркировками (ну мне по крайней мере)
мой chr мои правила)

Re: Нет интернета через ovpn client

Добавлено: 11 фев 2023, 11:45
podarok66
Retrograd писал(а): 09 фев 2023, 21:40 3. Импортирую пользовательский серт с ключом
Вроде три файла ca.cert, client.cert и client.key , они и импортируются именно в этом порядке. Хотя можно их собрать и в один примерно вот так https://podarok66.livejournal.com/23273.html
Я пробовал, всё корректно загружается.
Retrograd писал(а): 09 фев 2023, 21:40 4. Настраиваю opvn client, ставлю галку Add default route
Ещё раз, не надо Add default route, при таком раскладе вы ВЕСЬ трафик отправляете по этому маршруту, потому как получаете маршрут с минимальной дистанцией. И не сможете туда засунуть только маркированные роуты. А вам нужно только определенный. Рано маршрут писать, его потом.
Retrograd писал(а): 09 фев 2023, 21:40 Успешно подключаюсь к настроенному vpn, получая в логах ошибку "unsupported redirect-gateway flag 'bypass-dhcp'"
Если это у вас успешное подключение, то я очень не понял, прямо очень-очень. Я на сервере dhcp-server не использую, у меня адреса выдаются строго определенные для каждого клиента, мне так проще рулить. Как у вашего приятеля не знаю.
Вообще же, есть несколько тонких моментов, которые не позволяют использовать любой предложенный сервак для Микротика. Эта железка не всё поддерживает, а часть того, что вроде как и поддерживает, в действительности работает при куче строгих условий. Поэтому я использую давно опробованный конфиг на всех своих серверах, куда бы я не переезжал.
Можно очень много беседовать, переливая из пустого в порожнее. Вот описание моих действий пошагово и на сервере и на роутере
https://podarok66.livejournal.com/18134.html
И здесь я опять тоже самое описываю. Я сам не помню, зачем я это писал второй раз, наверное приступ старческого склероза ::yaz-yk:
https://podarok66.livejournal.com/19950.html
А вот так можно запустить вторую копию сервера на том же VDS, не трогая настроек первого.
https://podarok66.livejournal.com/19490.html
То есть личную :-) Это для вас с приятелем был бы самый правильный вариант. Просто повторить пошагово и не выдумывать ничего нового.
* Один только момент, на седьмой версии RouterOS таблицу маршрутизации нужно создать вручную до того, как начнете манглы писать. Это в Routing->Tables просто создаете таблицу с маркой vpn и галочкой в чекбоксе FIB
P.S.: У меня нет в продакшн роутеров с седьмой версией прошивки. И проверить я не смогу сейчас всё досконально. Но при любых раскладах, суть одна и та же. Никаких дефолтных роутов, всё пишем руками, ведь мы делим трафик и нам нужно пояснить роутеру, куда и что пойдёт.

Re: Нет интернета через ovpn client

Добавлено: 11 фев 2023, 15:01
Retrograd
CA серт тоже закидывал, как я понял он нужен, если стоит галка проверять серт сервера. В обоих случаях ничего не меняется.
По поводу маршрутизации. Еще раз, пожалуйста, давайте игнорить конечную цель в виде части трафика через впн, у меня банально вообще интернет не работает при подключении через микротик. При этом все отлично работает, если использовать клиента OPVN на компе.

Re: Нет интернета через ovpn client

Добавлено: 11 фев 2023, 16:19
podarok66
Тогда давайте вы сначала получите подключение с сообщение в логе не с ошибкой, а типа такого

Код: Выделить всё

..........................................ovpn-client: initializing...
............................................ovpn-client: connecting...
Потом просто в маскараде измените правило, указав в качестве out-interface ваш туннель. Комп в качестве примера - смешно. В телевизоре вон кино само идет, в на компе настраивать надо. И что теперь, комп на помойку?
Часовой пояс: UTC+03:00
Страница 2 из 3

Создано на основе phpBB® Forum Software © phpBB Limited

Русская поддержка phpBB