GhOsT_MZ Опубликовано 4 декабря, 2015 (изменено) · Жалоба Добрый день! Пытаюсь настроить VPN между двумя Mikrotik'ами и столкнулся с проблемой. Как результат, пинги ходят по туннелю, пингуются узлы между сетями за каждым роутером. Но, есть проблема, не пингуется VPN-сервер с клиентской стороны, при этом, со стороны клиента пингуются адреса, расположенные за VPN-сервером. В фаерволе есть разрешающие правила. Конфигурация сервера Конфигурация моста: [admin@vpn-server] > /interface bridge printFlags: X - disabled, R - running 0 R name="bridge.ovpn-workshop-stc" mtu=auto actual-mtu=1500 l2mtu=65535 arp=enabled mac-address=FE:F5:25:C4:2F:A7 protocol-mode=rstp priority=0x8000 auto-mac=yes admin-mac=00:00:00:00:00:00 max-message-age=20s forward-delay=15s transmit-hold-count=6 ageing-time=5m Параметры ovpn: [admin@vpn-server] > /interface ovpn-server export# dec/04/2015 16:47:15 by RouterOS 6.33# software id = 39Z1-RG53#/interface ovpn-serveradd name=ovpn-workshop-stc user=workshop-stc/interface ovpn-server serverset auth=sha1 certificate=router.pem_0 cipher=aes256 default-profile=remote-user enabled=yes mode=ethernet netmask=32[admin@vpn-server] > /ppp export# dec/04/2015 16:37:04 by RouterOS 6.33# software id = 39Z1-RG53#/ppp profileadd bridge=bridge.ovpn-workshop-stc name=workshop-stc only-one=yes/ppp secretadd local-address=192.168.255.129 name=workshop-stc password=testing_pass profile=workshop-stc remote-address=192.168.255.130 service=ovpn Адрес удаленного конца туннеля есть в ARP-таблице: [admin@vpn-server] > /ip arp print where address=192.168.255.130 Flags: X - disabled, I - invalid, H - DHCP, D - dynamic, P - published # ADDRESS MAC-ADDRESS INTERFACE 0 D 192.168.255.130 02:8F:93:40:4F:A7 bridge.ovpn-workshop-stc С локальным адресом - аналогично: [admin@vpn-server] > /ip address printFlags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE ... 19 D 192.168.255.129/32 192.168.255.130 ovpn-workshop-stc И маршрут туда тоже есть: [admin@vpn-server] > /ip route print where dst-address=192.168.255.130/32 Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE0 ADC 192.168.255.130/32 192.168.255.129 bridge.ovpn-wor... 0 И пинг работает: [admin@vpn-server] > ping 192.168.255.130 SEQ HOST SIZE TTL TIME STATUS 0 192.168.255.130 56 64 2ms 1 192.168.255.130 56 64 1ms 2 192.168.255.130 56 64 1ms 3 192.168.255.130 56 64 1ms 4 192.168.255.130 56 64 1ms sent=5 received=5 packet-loss=0% min-rtt=1ms avg-rtt=1ms max-rtt=2ms И даже пинг узла за маршрутизатором: [admin@vpn-server] > ping 192.168.25.200 SEQ HOST SIZE TTL TIME STATUS 0 192.168.25.200 56 127 1ms 1 192.168.25.200 56 127 1ms 2 192.168.25.200 56 127 1ms 3 192.168.25.200 56 127 1ms 4 192.168.25.200 56 127 1ms sent=5 received=5 packet-loss=0% min-rtt=1ms avg-rtt=1ms max-rtt=1ms А теперь перейдем к настройкам vpn-клиента Настройки ovpn: [admin@vpn-client] > /interface ovpn-client export# dec/04/2015 16:52:15 by RouterOS 6.34rc15# software id = QZRD-ZPDY#/interface ovpn-clientadd cipher=aes256 connect-to=192.168.0.254 mac-address=02:8F:93:40:4F:A7 mode=ethernet name=ovpn-stc password=testing_pass profile=default-encryption user=workshop-stc Адрес удаленной стороны есть в ARP-таблицы: [admin@vpn-client] > /ip arp print where address=192.168.255.129 Flags: X - disabled, I - invalid, H - DHCP, D - dynamic, P - published, C - complete # ADDRESS MAC-ADDRESS INTERFACE 0 DC 192.168.255.129 FE:F5:25:C4:2F:A7 ovpn-stc Само собой адрес у нас назначен: [admin@vpn-client] > /ip address print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE .... 4 D 192.168.255.130/32 192.168.255.129 ovpn-stc И маршрут присутствует: [admin@vpn-client] > /ip route print where dst-address=192.168.255.129/32Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE0 ADC 192.168.255.129/32 192.168.255.130 ovpn-stc 0 Узлы за vpn-сервером тоже пингуются: [admin@vpn-client] > /ip route print where dst-address=192.168.255.129/32Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE0 ADC 192.168.255.129/32 192.168.255.130 ovpn-stc 0 А вот сам vpn-сервер - НЕТ! [admin@vpn-client] > ping 192.168.255.129 SEQ HOST SIZE TTL TIME STATUS 0 192.168.255.129 timeout 1 192.168.255.129 timeout 2 192.168.255.129 timeout 3 192.168.255.129 timeout 4 192.168.255.129 timeout sent=5 received=0 packet-loss=100% Подскажите, в какую сторону нужно копать? Wireshark "говорит", что до сервера пинги доходят, но ответы не отправляются. Что интересно, в целом все работает, OSPF нормально бегает по туннелю, есть доступ к сетям за маршрутизаторами. Изменено 4 декабря, 2015 пользователем GhOsT_MZ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GhOsT_MZ Опубликовано 7 декабря, 2015 · Жалоба Проблему решил. В правила маршрутизации затесалось правило, которое все портило. Тему, полагаю, можно закрыть/удалить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...