VPNserver в подсети mikrotik

RIP, OSFP, BGP, MPLS/VPLS
runuren
Сообщения: 8
Зарегистрирован: 09 окт 2020, 17:56

VPNserver в подсети mikrotik

Сообщение runuren »

Добрый день столкнулся с такой проблемой в настройке mikrotic, есть openvpn server в локальной сети микротока.
вопрос такой как настроить проброс портов для доступа и из локальной сети к openvpn и доступ из вне.
Настройки
Address: 89.х.х.34/27
Network: 89.х.х.32
Interface: eth10
адрес openvpn 192.168.1.16
порт: 1194 (udp)
порт который приходит и натируется: 11194 (udp)
настройка проброса выглядела так:
chain=dstnat action=dst-nat to-addresses=192.168.1.16 to-ports=1194 Dst. Address 89.х.х.34 Protocol UDP Dst.Port 11194
Подскажите что не так?
Аватара пользователя
Chupaka
Сообщения: 3062
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: VPNserver в подсети mikrotik

Сообщение Chupaka »

Добрый.

С ответом viewtopic.php?p=10214#p10214 в данной ситуации разница лишь в том, что вы меняете порт, поэтому просто через DNS перенаправить не получится, надо добавлять, например, правило dst-nat/redirect на самом сервере openvpn. Ну, или всё тот же костыль в виде hairpin nat с теми же побочными эффектами.
runuren
Сообщения: 8
Зарегистрирован: 09 окт 2020, 17:56

Re: VPNserver в подсети mikrotik

Сообщение runuren »

Chupaka писал(а): 14 окт 2020, 14:35 Добрый.

С ответом viewtopic.php?p=10214#p10214 в данной ситуации разница лишь в том, что вы меняете порт, поэтому просто через DNS перенаправить не получится, надо добавлять, например, правило dst-nat/redirect на самом сервере openvpn. Ну, или всё тот же костыль в виде hairpin nat с теми же побочными эффектами.
Так и хотел изначально попробовать сделать костыль в виде hairpin nat, но не помогло
Аватара пользователя
Chupaka
Сообщения: 3062
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: VPNserver в подсети mikrotik

Сообщение Chupaka »

Нужно больше подробностей. Сложно обсуждать правила, которые вы не показываете.
runuren
Сообщения: 8
Зарегистрирован: 09 окт 2020, 17:56

Re: VPNserver в подсети mikrotik

Сообщение runuren »

Chupaka писал(а): 14 окт 2020, 19:26 Нужно больше подробностей. Сложно обсуждать правила, которые вы не показываете.
Правила
chain=dstnat action=dst-nat to-addresses=192.168.1.16 to-ports=1194 Dst. Address 89.х.х.34 Protocol UDP Dst.Port 11194
chain=srcnat src-address=192.168.0.0/16 protocol=udp dst-address=192.168.1.16 dst-port=11194 action=masquerade To Ports:1194
Log
dstnat: in:ether10 out:(unknown 0), src-mac d4:*:*:*:ce:4f, proto UDP, 213.*.*.218:63790->89.*.*.34:11194, len 82
Аватара пользователя
Chupaka
Сообщения: 3062
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: VPNserver в подсети mikrotik

Сообщение Chupaka »

В правиле src-nat надо ставить dst-port=1194, поскольку там порт уже изменён правилом dst-nat
runuren
Сообщения: 8
Зарегистрирован: 09 окт 2020, 17:56

Re: VPNserver в подсети mikrotik

Сообщение runuren »

Chupaka писал(а): 15 окт 2020, 11:49 В правиле src-nat надо ставить dst-port=1194, поскольку там порт уже изменён правилом dst-nat
к сожалению не помогло даже пакеты там не проходят
Аватара пользователя
Chupaka
Сообщения: 3062
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: VPNserver в подсети mikrotik

Сообщение Chupaka »

Возможно, другие правила мешают?..
runuren
Сообщения: 8
Зарегистрирован: 09 окт 2020, 17:56

Re: VPNserver в подсети mikrotik

Сообщение runuren »

Chupaka писал(а): 15 окт 2020, 14:20 Возможно, другие правила мешают?..
другие правила наврятли могут мешать по данному ip и порту всего один проброс
после такой настройки портов начали пинговаться непонятные ip не из тех которые есть в сертификатах на open VPN при этом пинг продолжается вне зависимости от того включен ли opеn vpn или нет
а второе правило банально не отрабатыват.
Аватара пользователя
Chupaka
Сообщения: 3062
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: VPNserver в подсети mikrotik

Сообщение Chupaka »

Что ещё за непонятные ip и кем они начали пинговаться? Что-то не могу понять мысль... И почему у вас правила написаны "от руки"? Сделайте "/ip firewall nat export", чтобы точно знать, что у вас там настроено.