runuren Опубликовано 15 октября, 2020 · Жалоба обрый день столкнулся с такой проблемой в настройке mikrotic, есть openvpn server в локальной сети микротока. вопрос такой как настроить проброс портов для доступа к openvpn. Настройки Address: 89.х.х.34/27 Network: 89.х.х.32 Interface: eth10 адрес openvpn 192.168.1.16 порт: 1194 (udp) порт который приходит и натируется: 11194 (udp) настройка проброса выглядела так: chain=dstnat action=dst-nat to-addresses=192.168.1.16 to-ports=1194 Dst. Address 89.х.х.34 Protocol UDP Dst.Port 11194 chain=srcnat src-address=192.168.0.0/16 protocol=udp dst-address=192.168.1.16 dst-port=1194 action=masquerade To Ports:1194 При такой настройке видятся непонятные ip адреса и при чем им пофиг работает open vpn или нет, подскажите что не так? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 15 октября, 2020 · Жалоба 2 часа назад, runuren сказал: chain=srcnat src-address=192.168.0.0/16 protocol=udp dst-address=192.168.1.16 dst-port=1194 action=masquerade To Ports:1194 Вы чего сделать хотите, чтобы изнутри локальной сети был доступ к OpenVPN серверу в той же локальной сети? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
runuren Опубликовано 16 октября, 2020 · Жалоба 15 часов назад, jffulcrum сказал: Вы чего сделать хотите, чтобы изнутри локальной сети был доступ к OpenVPN серверу в той же локальной сети? что бы был доступ и извне и изнутри Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lugoblin Опубликовано 21 октября, 2020 · Жалоба On 10/16/2020 at 1:40 AM, runuren said: что бы был доступ и извне и изнутри Решение в принципе достижимо тем способом который вы описываете, с dstnat и srcnat, но граблей там много и траблшутить это дело будет грустно. Лучше сделайте так, чтобы те кто снаружи коннектились на 89.х.х.34, а те кто внутри непосредственно на 192.168.1.16. Конкретные меры: Оставьте только dstnat, для подключений извне, и уберите srcnat. Подключения изнутри не пойдут через Mikrotik. Сделайте так чтобы клиенты OpenVPN коннектились к серверу по hostname а не по IP адресу, например vpn.example.com. Таким образом вы будете контролировать, кому в какой IP резольвить имя OpenVPN сервера. Создайте запись "vpn.example.com A 89.х.х.34" в зоне example.com, которую, предположительно, вы контролируете. Создайте запись "vpn.example.com A 192.168.1.16" среди статичных DNS записей на вашем Mikrotik-е. Удостоверьтесь что адресация сети внутри VPN не конфликтует с адресацией в локальной сети. Или пересмотрите задачу. Зачем вам VPN в локальной сети? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...