OpenVPN(Ubuntu)+MikroTik

RIP, OSFP, BGP, MPLS/VPLS
LLleux
Сообщения: 7
Зарегистрирован: 12 дек 2018, 13:27

OpenVPN(Ubuntu)+MikroTik

Сообщение LLleux » 12 дек 2018, 16:14

Доброго времени суток всем!

Есть MikroTik ether1 - ip белый, ether2 - мост (dhcp 192.168.1.10-100), ether3 - мост (dhcp 192.168.10.1-100). Настроен сервер OpenVPN на Ubuntu 18.04 (ip 192.168.1.252). Когда подключаешься к впн из локальной сети, подключение происходит нормально. Когда подключаешься из инета, идет ошибка: read UDP: Unknown error (code=10054).

Конфигурация OpenVPN сервера

Код: Выделить всё

port 1194
proto udp
dev tun
ca ca.crt
cert srvvpn.crt
key srvvpn.key
dh dh2048.pem
tls-auth ta.key 0
cipher AES-256-CBC
auth SHA256
server 10.0.10.0 255.255.255.0
keepalive 10 120
persist-key
persist-tun
client-config-dir ccd
status srvvpn.log
log /var/log/srvvpn.log
comp-lzo
verb 3
sndbuf 0
rcvbuf 0
push "redirect-gateway def1"
push "dhcp-options DNS 82.209.240.241"
Конфигурация клиента

Код: Выделить всё

client 
dev tun
proto udp 
remote xxx.xxx.xxx.xxx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert adm.crt
key adm.key
tls-auth ta.key 1
cipher AES-256-CBC
auth SHA256
ns-cert-type server
comp-lzo
log adm.log
verb 5
sndbuf 0
rcvbuf 0
на Ubuntu

Код: Выделить всё

iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  10.0.10.0/24         anywhere
на MikroTik

Код: Выделить всё

/ip firewall filter print 
Flags: X - disabled, I - invalid, D - dynamic
я не силен пока в таких вопросах, помогите, чем сможете :)

Аватара пользователя
Chupaka
Сообщения: 1972
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: OpenVPN(Ubuntu)+MikroTik

Сообщение Chupaka » 12 дек 2018, 16:23

Доброго.

Что значит "мост"? Это два разных моста?

Как клиенты подключаются из Интернета? У сервера есть ещё и внешний адрес?

Ошибка эта на клиенте или на сервере?

LLleux
Сообщения: 7
Зарегистрирован: 12 дек 2018, 13:27

Re: OpenVPN(Ubuntu)+MikroTik

Сообщение LLleux » 12 дек 2018, 16:25

Chupaka писал(а):
12 дек 2018, 16:23
Доброго.

Что значит "мост"? Это два разных моста?
на каждый порт свой мост.
Chupaka писал(а):
12 дек 2018, 16:23
Как клиенты подключаются из Интернета? У сервера есть ещё и внешний адрес?
да, из интернета. сервер находится за микротиком на втором мосту.
Chupaka писал(а):
12 дек 2018, 16:23
Ошибка эта на клиенте или на сервере?
на клиенте.

Аватара пользователя
Chupaka
Сообщения: 1972
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: OpenVPN(Ubuntu)+MikroTik

Сообщение Chupaka » 12 дек 2018, 16:42

LLleux писал(а):
12 дек 2018, 16:25
Chupaka писал(а):
12 дек 2018, 16:23
Как клиенты подключаются из Интернета? У сервера есть ещё и внешний адрес?
да, из интернета. сервер находится за микротиком на втором мосту.
Там запятой нет. Вопрос - именно "Как клиенты подключаются из Интернета?", а не "Как клиенты подключаются, из Интернета?".

Правил NAT никаких вы не приводили - они есть? Проброс этого порта с внешнего адреса роутера на сервер OVPN, например...

LLleux
Сообщения: 7
Зарегистрирован: 12 дек 2018, 13:27

Re: OpenVPN(Ubuntu)+MikroTik

Сообщение LLleux » 12 дек 2018, 16:52

Chupaka писал(а):
12 дек 2018, 16:42
Там запятой нет. Вопрос - именно "Как клиенты подключаются из Интернета?", а не "Как клиенты подключаются, из Интернета?".
прошу прощения за недопонимание.
клиент подключается при помощи OpenVPNGUI (Win7 x64).
Chupaka писал(а):
12 дек 2018, 16:42
Правил NAT никаких вы не приводили - они есть? Проброс этого порта с внешнего адреса роутера на сервер OVPN, например...
нет, вот тут я и застрял. все, что находил по описания по пробросу порта и написанию правил NAT, не помогает.

Аватара пользователя
Chupaka
Сообщения: 1972
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: OpenVPN(Ubuntu)+MikroTik

Сообщение Chupaka » 12 дек 2018, 17:05

Я не могу обсуждать всё, что вы находили. Вы пишите конкретно, как у вас сделано - и я попробую сказать, почему не работает и как исправить.

З.Ы. Под "как" имелось в виду, как их пакеты из Интернета попадают к серверу, если у сервера есть только внутренний адрес 192.168.x.y

LLleux
Сообщения: 7
Зарегистрирован: 12 дек 2018, 13:27

Re: OpenVPN(Ubuntu)+MikroTik

Сообщение LLleux » 12 дек 2018, 17:10

на микротике

nat правила

chain=srcnat action=masquerade out-interface=ether1 log=no log-prefix=""

1 openvpn
chain=dstnat action=dst-nat to-addresses=192.168.1.252 to-ports=1194 protocol=udp in-interface=ether1 src-port=1194 log=no log-prefix=""

Аватара пользователя
Chupaka
Сообщения: 1972
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: OpenVPN(Ubuntu)+MikroTik

Сообщение Chupaka » 12 дек 2018, 17:18

src-port=1194 попробовать убрать из правила, на всякий случай, и добавить dst-port=1194

LLleux
Сообщения: 7
Зарегистрирован: 12 дек 2018, 13:27

Re: OpenVPN(Ubuntu)+MikroTik

Сообщение LLleux » 12 дек 2018, 17:25

Chupaka писал(а):
12 дек 2018, 17:18
src-port=1194 попробовать убрать из правила, на всякий случай, и добавить dst-port=1194
не помогло.

когда убирается из правил src-port=1194 и dst-port=1194, то пакеты входящие есть (смотрю по статистике микротика), не зависимо от того, подключаешься или нет. как только добавляешь dst-port=1194, пакеты не идут, так же и при подключении. такое впечатление, что порт вообще закрыт.

Аватара пользователя
Chupaka
Сообщения: 1972
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: OpenVPN(Ubuntu)+MikroTik

Сообщение Chupaka » 12 дек 2018, 17:40

Вы поставьте галку Log в Action - увидите, что там совершенно левый трафик летит, когда всё убирается. А если с dst-port=1194 пакеты не идут - значит, их там и нет. Провайдер не фильтрует? Адрес, к которому пытается подключаться клиент, в IP -> Addresses есть?

Ответить