VPNserver в подсети mikrotik

[runuren]

Добрый день столкнулся с такой проблемой в настройке mikrotic, есть openvpn server в локальной сети микротока.
вопрос такой как настроить проброс портов для доступа и из локальной сети к openvpn и доступ из вне.
Настройки
Address: 89.х.х.34/27
Network: 89.х.х.32
Interface: eth10
адрес openvpn 192.168.1.16
порт: 1194 (udp)
порт который приходит и натируется: 11194 (udp)
настройка проброса выглядела так:
chain=dstnat action=dst-nat to-addresses=192.168.1.16 to-ports=1194 Dst. Address 89.х.х.34 Protocol UDP Dst.Port 11194
Подскажите что не так?

[Chupaka]

Добрый.

С ответом viewtopic.php?p=10214#p10214 в данной ситуации разница лишь в том, что вы меняете порт, поэтому просто через DNS перенаправить не получится, надо добавлять, например, правило dst-nat/redirect на самом сервере openvpn. Ну, или всё тот же костыль в виде hairpin nat с теми же побочными эффектами.

[runuren]

Добрый.

С ответом viewtopic.php?p=10214#p10214 в данной ситуации разница лишь в том, что вы меняете порт, поэтому просто через DNS перенаправить не получится, надо добавлять, например, правило dst-nat/redirect на самом сервере openvpn. Ну, или всё тот же костыль в виде hairpin nat с теми же побочными эффектами.

Так и хотел изначально попробовать сделать костыль в виде hairpin nat, но не помогло

[Chupaka]

Нужно больше подробностей. Сложно обсуждать правила, которые вы не показываете.

[runuren]

Нужно больше подробностей. Сложно обсуждать правила, которые вы не показываете.

Правила
chain=dstnat action=dst-nat to-addresses=192.168.1.16 to-ports=1194 Dst. Address 89.х.х.34 Protocol UDP Dst.Port 11194
chain=srcnat src-address=192.168.0.0/16 protocol=udp dst-address=192.168.1.16 dst-port=11194 action=masquerade To Ports:1194
Log
dstnat: in:ether10 out:(unknown 0), src-mac d4:*:*:*:ce:4f, proto UDP, 213.*.*.218:63790->89.*.*.34:11194, len 82

[Chupaka]

В правиле src-nat надо ставить dst-port=1194, поскольку там порт уже изменён правилом dst-nat

[runuren]

В правиле src-nat надо ставить dst-port=1194, поскольку там порт уже изменён правилом dst-nat

к сожалению не помогло даже пакеты там не проходят

[Chupaka]

Возможно, другие правила мешают?..

[runuren]

Возможно, другие правила мешают?..

другие правила наврятли могут мешать по данному ip и порту всего один проброс
после такой настройки портов начали пинговаться непонятные ip не из тех которые есть в сертификатах на open VPN при этом пинг продолжается вне зависимости от того включен ли opеn vpn или нет
а второе правило банально не отрабатыват.

[Chupaka]

Что ещё за непонятные ip и кем они начали пинговаться? Что-то не могу понять мысль... И почему у вас правила написаны "от руки"? Сделайте "/ip firewall nat export", чтобы точно знать, что у вас там настроено.

[runuren]

Что ещё за непонятные ip и кем они начали пинговаться? Что-то не могу понять мысль... И почему у вас правила написаны "от руки"? Сделайте "/ip firewall nat export", чтобы точно знать, что у вас там настроено.

add action=dst-nat chain=dstnat dst-address=89.*.*.34 dst-port=11194 log=\
yes protocol=udp to-addresses=192.168.1.16 to-ports=1194
add action=masquerade chain=srcnat dst-address=192.168.1.16 dst-port=1194 \
protocol=udp src-address=192.168.0.0/16
Прикрепил к файлу настройку с прошлого роутера

[Chupaka]

Вы процитировали вопрос и проигнорировали его. Это и была ваша задумка? Идти ли уже вспоминать, о чём в прошлогодних постах говорилось, или вы ещё что-то добавите?