Доступ в локальную сеть клиента OpenVPN на Mikrotik?


@Nird_o

Добрый день.

Топология:
Сеть за сервером(192.168.127.0) — шлюз он же сервер VPN (192.168.127.89 ip tun0 10.8.0.1)
— ИНТЕРНЕТ —
Клиент VPN он же шлюз сети клиента(192.168.130.1 ip VPN 10.8.0.3) — сеть клиента (192.168.130.0)

Есть сервер на Debian на котором поднят OpenVPN. Сеть сервера 192.168.127.0
Клиент на Mikrotik подключается к этому серверу и видит сеть за сервером. Сеть клиента 192.168.130.0
Сеть VPN 10.8.0.0
IP адрес VPN клиента 10.8.0.3. Доступен с других клиентов VPN и с сервера, но IP адрес клиента 192.168.130.1 недоступен с сервера.

конфиг сервера

port 1194
proto tcp
dev tun
ca ca.crt
cert server.crt
key server.key  # This file should be kept secret
dh dh.pem
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 10.8.0.0 255.255.255.0"
push "route 192.168.127.0 255.255.255.0"
client-config-dir ccd
route 192.168.130.0 255.255.255.0
client-to-client
keepalive 10 120
key-direction 0
cipher AES-256-CBC
auth SHA1
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log-append  openvpn.log
verb 3
explicit-exit-notify 0

Клиент видит сеть за сервером, но сервер не видит сеть клиента.

Маршруты сервера:

default via xx.xx.xx.1 dev enp1s1 
10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.1 
192.168.1.0/24 dev enp1s0 proto kernel scope link src 192.168.1.2 
192.168.127.0/24 dev enp2s0 proto kernel scope link src 192.168.127.89 
192.168.130.0/24 via 10.8.0.3 dev tun0

Маршруты клиента:

[admin@MikroTik] > ip route print 
Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          192.168.1.1               1
 1 ADC  10.8.0.0/24        10.8.0.3        ovpn-out1                 0
 2  DS  10.8.0.0/24                        10.8.0.1                  1
 3 ADC  192.168.1.0/24     192.168.1.179   ether1                    0
 4 ADS  192.168.127.0/24                   10.8.0.1                  1
 5 ADC  192.168.130.0/24   192.168.130.1   bridge                    0

В файерволе на микроте выключены все запрещающие правила, теста ради.
С сервера пробую traceroute 192.168.130.1 но в ответ тишина. Как будто маршрута нет.
В чем может быть затык?


Ответы на вопрос 1


@alexvdem

но IP адрес клиента 192.168.130.1 недоступен с сервера

и не должен… т.к. этот IP выдан DHCP микротика, сервер про него знать не знает, для него есть только клиенты IPкоторых выдал он сам, а в данном случае это IP VPN, т.е. все машины в подсети 10.8.0.0, и не важно где они, в сети сервера и клиента, т.к. VPN сам сеть создает (т.к. это и есть VPN — virtual private network).

но сервер не видит сеть клиента.
и не должен… т.к. другие клиенты в сети того клиента, который подключен к сети не находятся в сети 10.8.0.0

Ты лучше скажи конечную цель, что ты хочешь то? Если тебе надо объединить 2 сети, чтобы все клиенты видели друг-друга, то надо на микротике настроить маршрутизацию пакетов в Firewall — NAT c указанием в General конкретного интерфейса In.Interface на котором у тебя OpenVPN сидит. А лучше вот тут почитать… https://mikrotik.wiki/wiki/VPN:OpenVPN_site-to-sit…

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *