Jump to content
Калькуляторы

Mikrotik Openvpn Client Туннель есть доступа нет.

И так.

Карта сети

пинг с компьютеров 192.168.0.0/24 идёт до 192.168.125.6 но не идет из подсети 192.168.0.0 в подсеть 192.168.104.0.

если я включаю srcnat masquarade для интерфейса IM(в таблице отключен), то пинг с компьютеров 192.168.104.0/24 идёт до 192.168.0.0/24

 

ether1=интерфейс wan

ether3=интерфейс lan

IM=интерфейс OpenVpn CLient

 

Маршруты как вы понимаете все пихаю push route с опенвпн сервера.

 

Перепробовал кучу правил как для фильтров так и для ната но не могу заставить микротик пропускать к своей локалке трафик с интерфейса IM.

 

Помогите разобраться. Уже не одну неделю бьюсь с настройками RB750.И самое обидное что споткнулся на простом и как в ступоре.Где я что упускаю, ткните носом. :(

 

 

Теперь правила фильтров:


0 ;;; Added by webbox
chain=input action=accept protocol=icmp

1 ;;; Added by webbox
chain=input action=accept connection-state=established
in-interface=ether1

2 ;;; Added by webbox
chain=input action=accept connection-state=related in-interface=ether1

3 X ;;; SMB
chain=forward action=accept protocol=tcp in-interface=!ether3
dst-port=445

4 ;;; RADMIN
chain=forward action=accept protocol=tcp in-interface=!ether3
dst-port=4899

5 ;;; Outdoor Accsess
chain=input action=accept protocol=tcp dst-port=8291

6 ;;; Added by webbox
chain=input action=drop in-interface=ether1

7 ;;; Added by webbox
chain=forward action=jump jump-target=customer in-interface=ether1

8 ;;; Added by webbox
chain=customer action=accept connection-state=established

9 ;;; Added by webbox
chain=customer action=accept connection-state=related

10 ;;; Added by webbox
chain=customer action=drop

и ната:


1 ;;; Added by webbox
chain=srcnat action=masquerade out-interface=ether1
2 X ;;; VPN
chain=srcnat action=masquerade out-interface=IM

могу показать таблицы маршрутизации если все таки я что-то с маршрутами упустил. но на мой взгляд все маршруты верны.

 

 

Edited by m4j

Share this post


Link to post
Share on other sites

1    ;;; Added by webbox
    chain=srcnat action=masquerade out-interface=ether1 
2 X ;;; VPN
    chain=srcnat action=masquerade out-interface=IM

 

Правило #1 наты перенести в конец списка(в примере ненужно)

и попробовать добавить еще строчку наты:

3    ;;; 
    chain=srcnat action=masquerade out-interface=Ваш ВПН интерфейс

не факт но попобовать можно.

Share this post


Link to post
Share on other sites

1    ;;; Added by webbox
    chain=srcnat action=masquerade out-interface=ether1 
2 X ;;; VPN
    chain=srcnat action=masquerade out-interface=IM

 

Правило #1 наты перенести в конец списка(в примере ненужно)

и попробовать добавить еще строчку наты:

3    ;;; 
    chain=srcnat action=masquerade out-interface=Ваш ВПН интерфейс

не факт но попобовать можно.

 

2 правило и есть то что вы предложили добавить 3. Обратите внимание слева стоит X что означает disabled. Если я его включаю пинг начинает ходить с микротика только за впн сервер. Мне же нужно чтобы трафик ходил и изза впнсервера в локалку за микротиком

Edited by m4j

Share this post


Link to post
Share on other sites

А вы начальную конфигурацию не забыли сбросить?

 

 

Share this post


Link to post
Share on other sites

А вы начальную конфигурацию не забыли сбросить?

не забыл. Настраивал сам всё с нуля. Вопрос именно про связь 2 интерфейсов внутри микротика

Share this post


Link to post
Share on other sites

Попробуйте сделать только одно правило маскардинга без указания интерфейсов.

 

Вообще указывать интерфейсы для маскардинга не совсем правильно, вернее указывать адреса клиентов, для которых делать маскардинг. А интерфейс, через который пойдут пакеты и куда сам собой определится по правилам маршрутизации.

 

 

Share this post


Link to post
Share on other sites

Попробуйте сделать только одно правило маскардинга без указания интерфейсов.

 

Вообще указывать интерфейсы для маскардинга не совсем правильно, вернее указывать адреса клиентов, для которых делать маскардинг. А интерфейс, через который пойдут пакеты и куда сам собой определится по правилам маршрутизации.

 

Тоесть для маскарадинга PPTP outa (в winboxe) строку Out. Interface оставляем пустой а Dst. Address(или в на закладке адвансед) пишем Внешней IP... Врятли, как тут быть?

Share this post


Link to post
Share on other sites

Нет. Пишите в src.address подсеть ваших клиентов, например 192.168.0.0/24. Тогда в правило будут попадать только запросы от этих компьютеров.

 

 

Share this post


Link to post
Share on other sites

Нет. Пишите в src.address подсеть ваших клиентов, например 192.168.0.0/24. Тогда в правило будут попадать только запросы от этих компьютеров.

 

какой смысл в этом. ведь сам по себе маскардинг(если я правильно понимаю) прячет IP локальной подсети мне же нужно правило позволяющее изза моего опен впн сервера поподать дальше IP 192.168.125.6 в подсеть 192.168.104.0.

Share this post


Link to post
Share on other sites

Нет. Пишите в src.address подсеть ваших клиентов, например 192.168.0.0/24. Тогда в правило будут попадать только запросы от этих компьютеров.

 

какой смысл в этом. ведь сам по себе маскардинг(если я правильно понимаю) прячет IP локальной подсети мне же нужно правило позволяющее изза моего опен впн сервера поподать дальше IP 192.168.125.6 в подсеть 192.168.104.0.

 

Если вы маскардинг не ограничите определенной подсетью, то у вас маршрутизация нормально работать не будет, все запросы он будет через NAT пропускать.

Share this post


Link to post
Share on other sites

Нет. Пишите в src.address подсеть ваших клиентов, например 192.168.0.0/24. Тогда в правило будут попадать только запросы от этих компьютеров.

 

Пишу src.address подсеть в обоих правилах маскарадинга ?? Подсеть 192,99,99,0 ?

 

Out Int оставляю пустыми ???

 

Спасибо

123.PNG

Edited by Diman_xxxx

Share this post


Link to post
Share on other sites

Нет, вы там в графе src.address указываете для доступа с каких адресов его делать. Выходной интерфейс указывать не нужно.

 

Если вам надо исключить какую-то подсеть из маскардинга, тогда в dst-address укажите ее с восклицательным знаком.

 

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this