Russian Users MikroTik | Форум пользователей MikroTik

Коллеги, приветствую Вас. Есть ситуация следующего плана:
Имеется Микротик RB952Ui-5ac2nD. Настроено все по мануалам найденным на данном форуме. А именно в 1-й порт воткнут провайдер, Ростелеком, статический IP, шлюз, ДНСники. Остальные порты объединены в bridge. Создана сеть по этому бриджу вида 192.168.1.*. Поднят DHCP работающий на данную сеть. С головного сервера взяты сертификаты и ключ. Импортированы. В PPP создано соединение OpenVPN Client с использованием данных сертификатов. Соединение устанавливается. Создано правило маскарада без указания интерфейса Out. Все начинает работать. ВПН доступна, ресурсы все доступны. Интернет работает. Спустя минут 7-10 происходит следующее....на сайты не зайти. На ресурсы ВПН не зайти, хотя все пингуется. И Удаленная сеть с которой установлено ВПН соединение и любой сайт в интернете. Но однако сайты перестают открываться, ресурсы удаленной сети тоже становятся недоступными. Прошу помочь. Где еще что можно посмотреть???

Хочу добавить....по маскараду ставишь Out интерфейс порт на котором висит провайдер - Инет начинает работать, ВПН сеть недоступна.

Маскарадинга без указания "Out-interface" быть не должно.
Это получится что вы не только подставляете адрес роутера в качестве источника для исходящих в интернет запросов.
Но и наоборот - для всего, что у вас внутри сети, всё что приходит из интернета будет выглядеть, как-будто оно пришло от роутера.
Так что маскарадинг оставьте как положено.
А для доступа к ресурсам за туннелем нужно маршрут прописать в IP --> Routes.

xvo писал(а): ↑25 авг 2018, 12:42 Маскарадинга без указания "Out-interface" быть не должно.
Это получится что вы не только подставляете адрес роутера в качестве источника для исходящих в интернет запросов.
Но и наоборот - для всего, что у вас внутри сети, всё что приходит из интернета будет выглядеть, как-будто оно пришло от роутера.
Так что маскарадинг оставьте как положено.
А для доступа к ресурсам за туннелем нужно маршрут прописать в IP --> Routes.

Смотрите что в файле конфигурации...
# model = RouterBOARD 952Ui-5ac2nD
# serial number = 924908226FC9
/interface bridge
add name=bridge1
/interface ovpn-client
add certificate=askona_cert.crt_0 cipher=aes128 connect-to=*.*.*.* \
mac-address=02:EB:04:42:97:EF name=ovpn-out1 password=password user=\
askona
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
management-protection=allowed mode=dynamic-keys name=profile1 \
supplicant-identity="" wpa-pre-shared-key=dsr500n2014 \
wpa2-pre-shared-key=dsr500n2014
/interface wireless
set [ find default-name=wlan1 ] disabled=no mode=ap-bridge security-profile=\
profile1 ssid=askona.ru
set [ find default-name=wlan2 ] disabled=no mode=station-pseudobridge \
security-profile=profile1 ssid=askona.ru
/ip pool
add name=dhcp_pool1 ranges=192.168.88.2-192.168.88.254
add name=dhcp_pool2 ranges=192.168.88.2-192.168.88.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge1 name=dhcp1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=wlan2
/ip address
add address=192.168.88.1/24 interface=bridge1 network=192.168.88.0
add address=212.58.199.254/30 interface=ether1 network=212.58.199.252
/ip dhcp-server network
add address=192.168.88.0/24 dns-server=192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=212.58.192.12,212.58.192.18
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall nat
add action=masquerade chain=srcnat
add action=dst-nat chain=dstnat protocol=tcp to-addresses=192.168.88.251 \
to-ports=5555
/ip route
add distance=1 gateway=212.58.199.*
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow

Посмотрел.
Маскарадинг вы не поправили.
Маршрут до удаленной подсети не прописывали.
Что я там должен увидеть?