Russian Users MikroTik | Форум пользователей MikroTik

Доброго времени суток.
Столкнулся с проблемой в работе OVPN на Микротик.

Общая инфа: Имеется 2 микротика между ними настроен OVPN соединение (с сертификатами и всеми делами). Микротик-клиент отображается в "Active Connections" PPP раздела Микротика-сервера.
У Микротика сервера имеется 3 vlan'а:
1) Локальная сеть (vlan 1)
2) Спец. сеть (vlan 26)
3) OVPN (vlan 25)
У Микротика-клиента один vlan - 88

Суть проблемы: С Микротика-клиента пингуется только сеть 192.168.25.1, сети 192.168.1.1 и 192.168.26.1 не пингуются. Следовательно не пингуются устройства за ними. Полазил по темам про настройку ovpn на Микротике, но какие-то расхождения с тем что у меня уже настроено не обнаружил.
Как решить данную проблему? Подозреваю, что дело в правилах Firewall.

Как это выглядит на примере устройств из 33 vlan'а:

Не совсем понятно причем тут вланы, ну да ладно, сети есть и уже хорошо.
1) Скриншоты самый неинформативный способ показать что либо.
2) Конфиг - лучший способ показать что либо, дает максимальное понимание происходящего.
3) Иногда просто конфига бывает мало, особенно в сложных сетях, в таких случаях к кофигу стоит добавить схему структуры сети с описанием адресов и пространств адресов за оборудованием.
4) Т.к. конфига и схемы пока что вы не показали, то можно попробовать погадать, например в сторону отсутствующих маршрутов, на обоих устройствах, или хотя бы на одном из них, или же некорректное их написание. Если маршруты все же есть и вы уверены что они правильные, то стоит посмотреть на фаервол, возможно кто-то где-то что-то режет, а что бы это проверить, просто выключите фаервол на время проверок с обеих сторон. Так же не забывайте про фаерволы клиентских устройств, они тоже могут сыграть злую шутку, когда все сетевое оборудование настроено правильно, а клиенты просто не отвечают из-за фаерволов.

В общем еще много всякого интересного можно проверить, но у нас же тут форум по сетевому оборудованию, а не кружок юных черных магов-ясновидцев, гадающих на всем подряд, от кофейной гущи, до перхоти пчелы.

KARaS'b, благодарю за отклик!

Не совсем понял какие конфиги Ваш необходимы. Пробовал полностью отключить все правила фильтрации на обоих Микротиках. Не помогло.

Сеть довольно простая и устроена так:
На Микротик сервер в 1-ый порт приходит интернет с белым IPшником.
На 2-3 порту поднят бридж на 1-ом vlan. Все устройства внутри пингуют 8.8.8.8.
На 5 порте находится бридж с 26 vlanом (сейчас временно 33). Так же устройства внутри пингуют 8.8.8.8
На оба vlan прописаны dhcp сервера с привязкой на бридж.
На данному микротике поднят ovpn сервер. Пробовал к нему подключаться как с микротика клиента, так и с компьютера за микротиком клиентом через Openvpn GUI. Подключение идёт, на сервере в Активных клиентах "повисает" клиент с прикреплённым к нему ip 192.168.25.1.

На Микротик клиент аналогично на 1 порт походит интернет с белым IP
На 2-5 порту поднят бридж на 88 Vlan. Устройства внутри пингуют 8.8.8.8

P.s. Заметил на сервере в ip-->routes при подключении клиента по ovpn появляется маршрут:
Dst. Address: 192.168.25.1
Gateway: ovpn-connect reachable
Pref. Source: 192.168.33.1

Видимо поэтому 192.168.33.1 пингуется с клиента, но это не тот 33 который нужен. Устройства с 1 vlan тоже не пингуются с клиента.
Исходя из этого понятно, что подключенный клиент не видит устройств дальше микротика сервера. Либо просто не знает куда стучаться.

Ну и задача: иметь возможность подключиться с помощью ovpn к устройствам в 33 vlan (т.е. по сути открыть доступ к устройствам за 5 портом).

Есть желание перенастроить это дело, но нужно среди большого количества мануалов найти более подходящий. Если таковой есть был бы благодарен за ссылочку на него. Спасибо

Forged писал(а): ↑22 июн 2020, 01:30
Исходя из этого понятно, что подключенный клиент не видит устройств дальше микротика сервера. Либо просто не знает куда стучаться.

А клиент вообще знает что пакеты для подсети 192.168.33. нужно отправлять в туннель OpenVPN???

P.S. Рисуйте схему сети и выкладывайте конфиги...

bst-botsman писал(а): ↑22 июн 2020, 07:19

Forged писал(а): ↑22 июн 2020, 01:30
Исходя из этого понятно, что подключенный клиент не видит устройств дальше микротика сервера. Либо просто не знает куда стучаться.

А клиент вообще знает что пакеты для подсети 192.168.33. нужно отправлять в туннель OpenVPN???

Да, в routes прописано, что 192.168.33.0/24 - это ovpn. Сделал похожую настройку на микротике сервере и пинганул сеть за клиентом. Та же фигня, 192.168.88.1 пингуется, дальше - нет.

Не ping-ом единым...
Во-первых - состояние файрвола на клиентских устройствах.
Во-вторых - что говорит tracert (Windows) или traceroute (Linux).
В-третьих - Вы так и не показали ни схему сети ни конфигурацию Mikrotik-ов.

Кажется заработало , пересобрал сеть и в NAT Создал правило:

Chain: srcnat
Src. Address: 192.168.26.0/24 // Сеть OVPN
Dst. Address: 192.168.33.0/24 // Сеть для подключения устройств

Action: src-nat
To Addresses: 192.168.33.1

Сейчас буду менять vlan на нужный и тестить.

С некоторыми оговорками можно сказать, что "и так тоже можно".