Добрый день!
Пытаюсь настроить VPN между двумя Mikrotik'ами и столкнулся с проблемой. Как результат, пинги ходят по туннелю, пингуются узлы между сетями за каждым роутером. Но, есть проблема, не пингуется VPN-сервер с клиентской стороны, при этом, со стороны клиента пингуются адреса, расположенные за VPN-сервером. В фаерволе есть разрешающие правила.
Конфигурация сервера
Конфигурация моста:
[admin@vpn-server] > /interface bridge printFlags: X - disabled, R - running 0 R name="bridge.ovpn-workshop-stc" mtu=auto actual-mtu=1500 l2mtu=65535 arp=enabled mac-address=FE:F5:25:C4:2F:A7 protocol-mode=rstp priority=0x8000 auto-mac=yes admin-mac=00:00:00:00:00:00 max-message-age=20s forward-delay=15s transmit-hold-count=6 ageing-time=5m
Параметры ovpn:
[admin@vpn-server] > /interface ovpn-server export# dec/04/2015 16:47:15 by RouterOS 6.33# software id = 39Z1-RG53#/interface ovpn-serveradd name=ovpn-workshop-stc user=workshop-stc/interface ovpn-server serverset auth=sha1 certificate=router.pem_0 cipher=aes256 default-profile=remote-user enabled=yes mode=ethernet netmask=32[admin@vpn-server] > /ppp export# dec/04/2015 16:37:04 by RouterOS 6.33# software id = 39Z1-RG53#/ppp profileadd bridge=bridge.ovpn-workshop-stc name=workshop-stc only-one=yes/ppp secretadd local-address=192.168.255.129 name=workshop-stc password=testing_pass profile=workshop-stc remote-address=192.168.255.130 service=ovpn
Адрес удаленного конца туннеля есть в ARP-таблице:
[admin@vpn-server] > /ip arp print where address=192.168.255.130 Flags: X - disabled, I - invalid, H - DHCP, D - dynamic, P - published # ADDRESS MAC-ADDRESS INTERFACE 0 D 192.168.255.130 02:8F:93:40:4F:A7 bridge.ovpn-workshop-stc
С локальным адресом - аналогично:
[admin@vpn-server] > /ip address printFlags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE ... 19 D 192.168.255.129/32 192.168.255.130 ovpn-workshop-stc
И маршрут туда тоже есть:
[admin@vpn-server] > /ip route print where dst-address=192.168.255.130/32 Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE0 ADC 192.168.255.130/32 192.168.255.129 bridge.ovpn-wor... 0
И пинг работает:
[admin@vpn-server] > ping 192.168.255.130 SEQ HOST SIZE TTL TIME STATUS 0 192.168.255.130 56 64 2ms 1 192.168.255.130 56 64 1ms 2 192.168.255.130 56 64 1ms 3 192.168.255.130 56 64 1ms 4 192.168.255.130 56 64 1ms sent=5 received=5 packet-loss=0% min-rtt=1ms avg-rtt=1ms max-rtt=2ms
И даже пинг узла за маршрутизатором:
[admin@vpn-server] > ping 192.168.25.200 SEQ HOST SIZE TTL TIME STATUS 0 192.168.25.200 56 127 1ms 1 192.168.25.200 56 127 1ms 2 192.168.25.200 56 127 1ms 3 192.168.25.200 56 127 1ms 4 192.168.25.200 56 127 1ms sent=5 received=5 packet-loss=0% min-rtt=1ms avg-rtt=1ms max-rtt=1ms
А теперь перейдем к настройкам vpn-клиента
Настройки ovpn:
[admin@vpn-client] > /interface ovpn-client export# dec/04/2015 16:52:15 by RouterOS 6.34rc15# software id = QZRD-ZPDY#/interface ovpn-clientadd cipher=aes256 connect-to=192.168.0.254 mac-address=02:8F:93:40:4F:A7 mode=ethernet name=ovpn-stc password=testing_pass profile=default-encryption user=workshop-stc
Адрес удаленной стороны есть в ARP-таблицы:
[admin@vpn-client] > /ip arp print where address=192.168.255.129 Flags: X - disabled, I - invalid, H - DHCP, D - dynamic, P - published, C - complete # ADDRESS MAC-ADDRESS INTERFACE 0 DC 192.168.255.129 FE:F5:25:C4:2F:A7 ovpn-stc
Само собой адрес у нас назначен:
[admin@vpn-client] > /ip address print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE .... 4 D 192.168.255.130/32 192.168.255.129 ovpn-stc
И маршрут присутствует:
[admin@vpn-client] > /ip route print where dst-address=192.168.255.129/32Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE0 ADC 192.168.255.129/32 192.168.255.130 ovpn-stc 0
Узлы за vpn-сервером тоже пингуются:
[admin@vpn-client] > /ip route print where dst-address=192.168.255.129/32Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE0 ADC 192.168.255.129/32 192.168.255.130 ovpn-stc 0
А вот сам vpn-сервер - НЕТ!
[admin@vpn-client] > ping 192.168.255.129 SEQ HOST SIZE TTL TIME STATUS 0 192.168.255.129 timeout 1 192.168.255.129 timeout 2 192.168.255.129 timeout 3 192.168.255.129 timeout 4 192.168.255.129 timeout sent=5 received=0 packet-loss=100%
Подскажите, в какую сторону нужно копать?
Wireshark "говорит", что до сервера пинги доходят, но ответы не отправляются. Что интересно, в целом все работает, OSPF нормально бегает по туннелю, есть доступ к сетям за маршрутизаторами.