Jump to content
Калькуляторы

VPNserver в подсети mikrotik

обрый день столкнулся с такой проблемой в настройке mikrotic, есть openvpn server в локальной сети микротока.
вопрос такой как настроить проброс портов для доступа к openvpn. 
Настройки
Address: 89.х.х.34/27
Network: 89.х.х.32
Interface: eth10
адрес openvpn 192.168.1.16
порт: 1194 (udp)
порт который приходит и натируется: 11194 (udp)
настройка проброса выглядела так:
chain=dstnat action=dst-nat to-addresses=192.168.1.16 to-ports=1194 Dst. Address 89.х.х.34 Protocol UDP Dst.Port 11194
chain=srcnat src-address=192.168.0.0/16 protocol=udp dst-address=192.168.1.16 dst-port=1194 action=masquerade To Ports:1194

При такой настройке видятся непонятные ip адреса и при чем им пофиг работает open vpn или нет, подскажите  что не так?

Share this post


Link to post
Share on other sites
2 часа назад, runuren сказал:

chain=srcnat src-address=192.168.0.0/16 protocol=udp dst-address=192.168.1.16 dst-port=1194 action=masquerade To Ports:1194

Вы чего сделать хотите, чтобы изнутри локальной сети был доступ к OpenVPN серверу в той же локальной сети?

Share this post


Link to post
Share on other sites
15 часов назад, jffulcrum сказал:

Вы чего сделать хотите, чтобы изнутри локальной сети был доступ к OpenVPN серверу в той же локальной сети?

что бы был доступ и извне и изнутри 

Share this post


Link to post
Share on other sites
On 10/16/2020 at 1:40 AM, runuren said:

что бы был доступ и извне и изнутри 

Решение в принципе достижимо тем способом который вы описываете, с dstnat и srcnat, но граблей там много и траблшутить это дело будет грустно.

Лучше сделайте так, чтобы те кто снаружи коннектились на 89.х.х.34, а те кто внутри непосредственно на 192.168.1.16.

 

Конкретные меры:
Оставьте только dstnat, для подключений извне, и уберите srcnat. Подключения изнутри не пойдут через Mikrotik.
Сделайте так чтобы клиенты OpenVPN коннектились к серверу по hostname а не по IP адресу, например vpn.example.com. Таким образом вы будете контролировать, кому в какой IP резольвить имя OpenVPN сервера.

Создайте запись "vpn.example.com  A  89.х.х.34" в зоне example.com, которую, предположительно, вы контролируете.

Создайте запись "vpn.example.com  A  192.168.1.16" среди статичных DNS записей на вашем Mikrotik-е.

Удостоверьтесь что адресация сети внутри VPN не конфликтует с адресацией в локальной сети.

 

Или пересмотрите задачу. Зачем вам VPN в локальной сети?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this