VPN через вторичный канал

[6apakyda]

Mikrotik 6.35.4 (stable).
Есть 2 провайдера, оба канала маркируются и делятся между пользователями.
На главном канале(который по умолчанию), порты заблокированы и мне необходимо чтобы ovpn(клиент на микротике) работал через второго провайдера, но к сожалению моих знаний не хватает, чтобы сделать данную настройку. Дать приоритет каналу с открытыми портами - не подходит.
Спасибо

[Chupaka]

можно, например, создать маршрут через второй канал к адресу ovpn-сервера

[6apakyda]

правильно я понимаю, что это правило должно быть в Ip -> routes?

[Chupaka]

именно так

[6apakyda]

Я сейчас не рядом с оборудованием,но на вскидку: где dst.address пишу адрес opvn сервера а где основной шлюз там ставлю вторичного провайдера? Если так, допустим у меня адрес сервера ddns, как тогда быть или там можно оставить адрес а не ip?

[Chupaka]

нет, нужен IP. можно скриптом его периодически проверять и исправлять.

а почему "Дать приоритет каналу с открытыми портами - не подходит"?

[6apakyda]

Я понял. Значит ddns не подходит.
В сети с закрытыми портами сидит 99% пользователей и каждый раз перекидывать людей на с открытой на закрытую сеть не хочется, а переделывать всю сеть не имеет смысла.

Спасибо. Всё получилось. Только теперь проблема, сервер пингуется, а клиент(mikrotik) не пингуется, надо открывать доступ по порту с определённого ip?

[Chupaka]

пингуется откуда? не пингуется откуда? раньше пинговалось/непинговалось?

[6apakyda]

Есть сервер ovpn он находится в другой сети и он пингуется из сети за микротиком, а вот клиент ovpn который настроен на самом микротике, он не пингуется с сервера ovpn)))

[Chupaka]

т.е. после подключения по ovpn внутри тоннеля роутер и сервер получают адреса - и с сервера этот адрес клиента не пингуется?..

[6apakyda]

Я лоханулся и не тот Ip пинговал((((
На самом деле ситуация не простая. К роутеру(asus wl500gp v2) на который приходит интернет, я подключил жёсткий диск и на роутере поднял ftp. Т.к. я не силён в линуксе я не смог поднять на этом же роутере ovpn клиента, но решил что нашёл выход, и поставил микротик.
Настроил Микротик, он подключается к серверу ovpn, но т.к. микротик не главный роутер, то из-за этого ovpn не видит всю сеть и соответственно не видит фтп((((

[Chupaka]

очень много слов, но конкретики вообще нет. даже не очень понятно: вам просто посочувствовать, или вы хотите какую-нибудь проблему решить?

[6apakyda]

Ну если не рассусоливать, то мне надо видеть ftp за микротиком, учитывая что ovpn стоит на микротике, но он сам не является роутером

[6apakyda]

Если допустим в сервисе микротика указать порт допустим 2121 и пробросить его до нужного места, прокатит? Получается я обращаюсь в ovpn ftp://10.8.0.18:2121 и получаю ответ? прокатит?

[Chupaka]

но он сам не является роутером

наверное, всё же не роутером, а шлюзом по умолчанию

можно и просто 21 порт пробросить, если к самому роутеру не нужен доступ через ovpn по ftp. как вариант решения задачи - маскарадить все подключения из ovpn к FTP, тогда asus будет видеть подключения не из Интернета, а от самого роутера, поэтому будет отвечать напрямую, а не через шлюз по умолчанию

[6apakyda]

Вот так сделал, вроде всё работает, насколько это правильно?
1 chain=dstnat action=netmap to-addresses=192.168.0.1 to-ports=3333
protocol=tcp in-interface=ether1-wan dst-port=3333 log=no log-prefix=""

[Chupaka]

это по сути обычный проброс порта. значит, всё же роутер является шлюзом по умолчанию, и страхи были необоснованными

[6apakyda]

Не пойму. Соединил все обородувание. Но теперь в фтп ошибка, не может получить список каталогов. Пробросил ещё порты (50000-50100) для пассивного режима, но толку никакого(( вообще через порты 50000-50100 не идёт ни капли трафика. Может есть ещё какие-то магические порты?

[Chupaka]

а в активном режиме что? и что значит "соединил"?.. что произошло между рабочей схемой и текущей?

для проверки можно вообще все порты пробросить

[6apakyda]

До этого я тестировал без асуса, пробрасывал порты на другой сервер и провайдер был другой. А теперь поставил асус с 4г модемом. Такое правило подойдёт?
1 chain=dstnat action=netmap to-addresses=192.168.6.1 to-ports=""
protocol=tcp in-interface=opvn dst-port="" log=no log-prefix=""
Где 192.168.6.1 есть шлюз(асус), а на ovpn приходит запрос с сервера vpn.
-------------------------
Сейчас посмотрел логи. Если заходть через бразуер, то соединение идёт через порт 50000-50100, и фтп нормально подключается через браузер, а вот через файлзиллу идёт только по 3333 порту, хотя пассивные 50000-50100 включены.
Так же проблема с удалённым доступом к настройкам асуса, захожу через браузер http://10.8.0.6:8080 он грузит и грузит, а вконце выдаёт кучу строчек где написано введите логин и пароль, а в конце ошибка подключения, скорее всего не проходит ответ от асуса?
-----------------------
Поменял порт фтп с 3333 на 21 и всё заработало! wtf???
А вот удалённый доступ к асусу черз 8080 не работает(
----------------------
Пробую зайти на фтп не с сервера, а с другого пк....не заходит через файлзиллу, а вот через браузер заходит!(((
----------------------
До меня только щас допёрло, что я пытаюсь подключиться к асусу не снаружи, а изнутри сети. Пробросил порт с 8080 на 80 и всё заработало:
6 chain=dstnat action=netmap to-addresses=192.168.6.1 to-ports=80
protocol=tcp in-interface=ovpn dst-port=8080 log=no log-prefix=""

А вот файлзилла, со второго пк так и не работает:
Статус: Соединяюсь с 10.8.0.6:21...
Статус: Соединение установлено, ожидание приглашения...
Статус: Небезопасный сервер, не поддерживает FTP через TLS.
Статус: Авторизовались
Статус: Получение списка каталогов...
Команда: PWD
Ответ: 257 "/" is the current directory
Команда: TYPE I
Ответ: 200 Switching to Binary mode.
Команда: PASV
Ответ: 227 Entering Passive Mode (10,8,0,6,195,69).
Команда: LIST
Ошибка: Соединение передачи данных не может быть установлено: ENETUNREACH - Сеть недоступна
---------------------------

Я нашёл эту тварь, которая мне всё утро мозги компостирует - это опять касперский
Отключил его и всё нормально работает!