Перейти к содержимому
Калькуляторы

Mikrotik Openvpn Client Туннель есть доступа нет.

И так.

Карта сети

пинг с компьютеров 192.168.0.0/24 идёт до 192.168.125.6 но не идет из подсети 192.168.0.0 в подсеть 192.168.104.0.

если я включаю srcnat masquarade для интерфейса IM(в таблице отключен), то пинг с компьютеров 192.168.104.0/24 идёт до 192.168.0.0/24

 

ether1=интерфейс wan

ether3=интерфейс lan

IM=интерфейс OpenVpn CLient

 

Маршруты как вы понимаете все пихаю push route с опенвпн сервера.

 

Перепробовал кучу правил как для фильтров так и для ната но не могу заставить микротик пропускать к своей локалке трафик с интерфейса IM.

 

Помогите разобраться. Уже не одну неделю бьюсь с настройками RB750.И самое обидное что споткнулся на простом и как в ступоре.Где я что упускаю, ткните носом. :(

 

 

Теперь правила фильтров:


0 ;;; Added by webbox
chain=input action=accept protocol=icmp

1 ;;; Added by webbox
chain=input action=accept connection-state=established
in-interface=ether1

2 ;;; Added by webbox
chain=input action=accept connection-state=related in-interface=ether1

3 X ;;; SMB
chain=forward action=accept protocol=tcp in-interface=!ether3
dst-port=445

4 ;;; RADMIN
chain=forward action=accept protocol=tcp in-interface=!ether3
dst-port=4899

5 ;;; Outdoor Accsess
chain=input action=accept protocol=tcp dst-port=8291

6 ;;; Added by webbox
chain=input action=drop in-interface=ether1

7 ;;; Added by webbox
chain=forward action=jump jump-target=customer in-interface=ether1

8 ;;; Added by webbox
chain=customer action=accept connection-state=established

9 ;;; Added by webbox
chain=customer action=accept connection-state=related

10 ;;; Added by webbox
chain=customer action=drop

и ната:


1 ;;; Added by webbox
chain=srcnat action=masquerade out-interface=ether1
2 X ;;; VPN
chain=srcnat action=masquerade out-interface=IM

могу показать таблицы маршрутизации если все таки я что-то с маршрутами упустил. но на мой взгляд все маршруты верны.

 

 

Изменено пользователем m4j

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1    ;;; Added by webbox
    chain=srcnat action=masquerade out-interface=ether1 
2 X ;;; VPN
    chain=srcnat action=masquerade out-interface=IM

 

Правило #1 наты перенести в конец списка(в примере ненужно)

и попробовать добавить еще строчку наты:

3    ;;; 
    chain=srcnat action=masquerade out-interface=Ваш ВПН интерфейс

не факт но попобовать можно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1    ;;; Added by webbox
    chain=srcnat action=masquerade out-interface=ether1 
2 X ;;; VPN
    chain=srcnat action=masquerade out-interface=IM

 

Правило #1 наты перенести в конец списка(в примере ненужно)

и попробовать добавить еще строчку наты:

3    ;;; 
    chain=srcnat action=masquerade out-interface=Ваш ВПН интерфейс

не факт но попобовать можно.

 

2 правило и есть то что вы предложили добавить 3. Обратите внимание слева стоит X что означает disabled. Если я его включаю пинг начинает ходить с микротика только за впн сервер. Мне же нужно чтобы трафик ходил и изза впнсервера в локалку за микротиком

Изменено пользователем m4j

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А вы начальную конфигурацию не забыли сбросить?

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А вы начальную конфигурацию не забыли сбросить?

не забыл. Настраивал сам всё с нуля. Вопрос именно про связь 2 интерфейсов внутри микротика

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Попробуйте сделать только одно правило маскардинга без указания интерфейсов.

 

Вообще указывать интерфейсы для маскардинга не совсем правильно, вернее указывать адреса клиентов, для которых делать маскардинг. А интерфейс, через который пойдут пакеты и куда сам собой определится по правилам маршрутизации.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Попробуйте сделать только одно правило маскардинга без указания интерфейсов.

 

Вообще указывать интерфейсы для маскардинга не совсем правильно, вернее указывать адреса клиентов, для которых делать маскардинг. А интерфейс, через который пойдут пакеты и куда сам собой определится по правилам маршрутизации.

 

Тоесть для маскарадинга PPTP outa (в winboxe) строку Out. Interface оставляем пустой а Dst. Address(или в на закладке адвансед) пишем Внешней IP... Врятли, как тут быть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нет. Пишите в src.address подсеть ваших клиентов, например 192.168.0.0/24. Тогда в правило будут попадать только запросы от этих компьютеров.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нет. Пишите в src.address подсеть ваших клиентов, например 192.168.0.0/24. Тогда в правило будут попадать только запросы от этих компьютеров.

 

какой смысл в этом. ведь сам по себе маскардинг(если я правильно понимаю) прячет IP локальной подсети мне же нужно правило позволяющее изза моего опен впн сервера поподать дальше IP 192.168.125.6 в подсеть 192.168.104.0.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нет. Пишите в src.address подсеть ваших клиентов, например 192.168.0.0/24. Тогда в правило будут попадать только запросы от этих компьютеров.

 

какой смысл в этом. ведь сам по себе маскардинг(если я правильно понимаю) прячет IP локальной подсети мне же нужно правило позволяющее изза моего опен впн сервера поподать дальше IP 192.168.125.6 в подсеть 192.168.104.0.

 

Если вы маскардинг не ограничите определенной подсетью, то у вас маршрутизация нормально работать не будет, все запросы он будет через NAT пропускать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нет. Пишите в src.address подсеть ваших клиентов, например 192.168.0.0/24. Тогда в правило будут попадать только запросы от этих компьютеров.

 

Пишу src.address подсеть в обоих правилах маскарадинга ?? Подсеть 192,99,99,0 ?

 

Out Int оставляю пустыми ???

 

Спасибо

123.PNG

Изменено пользователем Diman_xxxx

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нет, вы там в графе src.address указываете для доступа с каких адресов его делать. Выходной интерфейс указывать не нужно.

 

Если вам надо исключить какую-то подсеть из маскардинга, тогда в dst-address укажите ее с восклицательным знаком.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.