openvpn проблемы с доступом

[nevolex]

Здравствуйте друзья прошу помощи разрешить проблему

Надеюсь, что кто-то может посоветовать\направить меня в правильном направлении

У меня есть маршрутизатор Mikrotik, расположенный за основным маршрутизатором.

Роутер 1 — 10.10.10.1, Роутер Микротик — 10.10.10.2. Я планирую использовать MikroTik в качестве open VPN-сервера для резервного входа (на случай, если мой основное VPN-соединение выйдет из строя)

Я настроил переадресацию портов с основного маршрутизатора и могу войти в систему через openvpn. Клиент подключен, ему выделен IP-адрес туннеля, однако проблема в том, что у менять есть доступ только к IP-адресу 10.10.10.2, остальные IP-адреса не отвечают, я не могу получить доступ к Интернету, DNS тоже не работает. У микротика есть маршрут по умолчанию и в интернет через 10.10.10.1 и вообще к всему из 10.10.10.0/24


Я попробовал включить/отключить прокси-арп на бридже, добавлял- удалял бридж из настроек впн/ прописывал подсеть 10.10.10.0/24 клиенту итп делал перенаправление всего трафика через VPN (этого и хочу добиться), однако проблемы все та же, клиент пингует и заходит на 10.10.10.2, но больше ничего. У меня нет никаких правил файрвола на микротике

сертификат для клиента сгенерировал из экспорта впн сервера (видимо новая функция ничего сам не писал)

Буду признателен за любую помощь

/ip pool
add name=vpn-pool ranges=10.11.11.11-10.11.11.20

/ppp profile
add bridge=lan_bridge local-address=10.11.11.10 name=vpn-profile remote-address=vpn-pool use-compression=no use-encryption=yes use-ipv6=no \
use-mpls=no

/ppp secret
add disabled=yes name=user.ovpn profile=vpn-profile routes=10.10.10.0/24 service=ovpn


/interface ovpn-server server
set auth=sha256 certificate=vpn-server cipher=aes256-gcm protocol=udp redirect-gateway=def1

[nevolex]

пробовал настроить wireguard таже самая проблема- подключается нормально доступ есть только к микротику

[Chupaka]

Т.е. у вас клиент получает адрес 10.11.11.11, делает запрос в Интернет, этот запрос попадает на основной роутер. Как вы думаете, куда роутер должен направить ответ из Интернета? Он ведь вообще понятия не имеет, где это - 10.11.11.11. Так что или на основном роутере пропишите маршрут к VPN-подсети через 10.10.10.2, или на Микротике настройте маскарадинг всех запросов от VPN-клиентов, чтобы основной роутер видел, что запросы идут от адреса Микротика, а не от неизвестной подсети

[nevolex]

Т.е. у вас клиент получает адрес 10.11.11.11, делает запрос в Интернет, этот запрос попадает на основной роутер. Как вы думаете, куда роутер должен направить ответ из Интернета? Он ведь вообще понятия не имеет, где это - 10.11.11.11. Так что или на основном роутере пропишите маршрут к VPN-подсети через 10.10.10.2, или на Микротике настройте маскарадинг всех запросов от VPN-клиентов, чтобы основной роутер видел, что запросы идут от адреса Микротика, а не от неизвестной подсети

Спасибо только хотел ответить что проблема решилась маскарадингом ))

/ip firewall nat
add action=masquerade chain=srcnat comment="Snat for OpenVPN" dst-address=0.0.0.0/0 out-interface=lan_bridge src-address=\
10.11.11.11-10.11.11.20

Только вот теперь осталась еще одна вещь

Я использую Radius (через user manager)

настройки VPN (обновленные для шифрования чем из верхнего поста)

interface ovpn-server server
set auth=sha256 certificate=vpn-server cipher=aes256-cbc default-profile=vpn-profile enabled=yes protocol=udp redirect-gateway=def1

в разделе VPN-сервера я устанавливаю использование радиуса и настраиваю пользователей в user manager

Проблема, с которой я сталкиваюсь, заключается в том, что пользователь, назначенный в группу пользователей, разрешающей PAP (под внешней аутентификацией), может нормально войти в систему.

Однако, как только PAP отключен (я не хочу использовать PAP, поскольку он небезопасен), пользователи не могут войти в систему, и в клиенте openvpn (android) я получаю сообщение об ошибке аутентификации. Я попробовал все остальные варианты, но ни один из них не позволяет юзерам подключаться, кроме PAP.

в остальном все работает нормально, вы не подскажете как исправить эту проблему?

Спасибо

[Chupaka]

Видимо, OpenVPN поддерживает только PAP: https://forum.mikrotik.com/viewtopic.php?t=144589

[nevolex]

Видимо, OpenVPN поддерживает только PAP: https://forum.mikrotik.com/viewtopic.php?t=144589

ох..в это сложно поверить, напишу в микроток за разъяснениями и напишу здесь тоже

[nevolex]

да не поддерживает ((

[nevolex]

здравствуйте, сделал как вы посоветовали, убрал нат, на основном роутере сделал статический маршрут на впн подсеть, интернет на устройсвах теперь есть, но попрежнему они могут подключаться толко с 10.10.10.2 хотя я могу пинговать все другие устройства в сети 10.10.10.0/24 на основной роутере в логах вижу только когда впн сеть ходить в интернет но ничего от впн сети к основнйо сети 10.11.11.11 к 10.10.10.5 например

[Chupaka]

Здравствуйте. Попробуйте воспользоваться знаками препинания, ничего не могу понять в этом потоке мыслей.

"попрежнему они могут подключаться толко с 10.10.10.2" - это что значит?.. Откуда ещё могут подключаться ВПН-клиенты?..

[nevolex]

Конфигурация такая

Есть основной роутер не микротик (10.10.10.1) за ним стоит микротик (10.10.10.2). На микротике есть опенвпн сервер (впн сеть 10.11.11.0/27).
Клиенты которые подключаются к опенвпн имеют доступ к 10.10.10.2 (веб интерфес видится и пингуется) настроил нат правило маскарадингом теперь клиенты из опенвпн имеют достув в интернет и имеют доступ к другим клиентам основной сети (10.10.10.0/24).
Такая конфигурация работает.

Я захотел поменять по вашему совету и использовать обратный маршрут. Убрал маскарадинг. На основном роутере настроил статический маршрут к 10.11.11.0/27 через 10.10.10.2. Такая конфигурация дает впн клиентам из впн сети 10.11.11.0/27 иметь доступ в интернет, но попрежнему нет доступа к клиентам 10.10.10.0/24. Например Плекс на 10.10.10.5 итг

[Chupaka]

Сделайте трассировку от ВПН-клиента к 10.10.10.5. Поскольку трафик в таком случае, видимо, побежит по маршруту "впн-клиент - микротик - плекс - основной роутер - микротик", то основной роутер может файрволом отбросить этот ответ, т.к. не видел самого запроса. Ну и трассировку в обратную сторону, от 10.10.10.5 к 10.11.11.0/27 тоже неплохо посмотреть.

[nevolex]

вот до айпи телефона в тойже сети из под vpn клиента

~ % traceroute 10.10.10.6
traceroute to 10.10.10.6 (10.10.10.6), 64 hops max, 52 byte packets
1 10.11.11.10 (10.11.11.10) 41.584 ms 38.195 ms 32.326 ms
2 10.10.10.6 (10.10.10.6) 152.786 ms 183.097 ms 49.168 ms


% ping 10.10.10.6
PING 10.10.10.6 (10.10.10.6): 56 data bytes
64 bytes from 10.10.10.6: icmp_seq=0 ttl=62 time=51.124 ms
64 bytes from 10.10.10.6: icmp_seq=1 ttl=62 time=215.577 ms
64 bytes from 10.10.10.6: icmp_seq=2 ttl=62 time=112.236 ms
64 bytes from 10.10.10.6: icmp_seq=3 ttl=62 time=133.709 ms

10.11.11.10 это айпи я указал в ppp-profile в Local address (не знаю правильно или нет у людей с учебных видео просто это рандомный айпи по-моему) впн пул у меня 10.11.11.11---10.11.11.20

и от айпи телефон к клиенту траффик идет так

10.10.10.1-->
10.10.10.2-->
10.11.11.11



также могу из под впн клиента логиниться в 10.10.10.1 но другие клиенты в этой же сети не работают

не вижу в логах ничего кроме 10.11.11.11--> 10.10.10.1 и 10.11.11.11 --> интернет адреса

не вижу в логах но могу логиниться 10.11.11.11--> 10.10.10.2

[Chupaka]

Теперь я ничего не понял. Пинг есть - значит, доступ должен быть. Какого именно доступа нет?

[nevolex]

Теперь я ничего не понял. Пинг есть - значит, доступ должен быть. Какого именно доступа нет?

веб менеджмент страницы все тайм-аутится. (все кроме 10.10.10.1 и 10.10.10.2)


ps:

я нашел способ обойти проблему. но я не понимаю почему так работает
если я указываю на микротике статику до 10.10.10.5/32 через 10.10.10.1 то они начинает работать и я могу открыть 10.10.10.5 в веббразуере
поумолчанию маршрут через 10.10.10.0/24 апочему идет через 10.10.10.2 ???
но если я указываю 10.10.10.0/24 через 10.10.10.1 то опять не окрываются никакие страницы кроме 10.10.10.1 и 10.10.10.2

внизу 3 скриншота 2 динамических маршрута и статика

[Chupaka]

но если я указываю 10.10.10.0/24 через 10.10.10.1 то опять не окрываются никакие страницы кроме 10.10.10.1 и 10.10.10.2

внизу 3 скриншота 2 динамических маршрута и статика

Не вижу скриншота, где 10.10.10.0/24 через 10.10.10.1. Подозреваю, он не работает, потому что уже есть connected-маршрут через lan_brdge к 10.10.10.0/24. А вот если вы добавляете /32 (или всё, что длиннее /24) - то этот маршрут имеет больший приоритет.

Почему с таким "костылём" работает? Ну, я выше уже предполагал, что 10.10.10.1 хочет видеть не только ответы, но и запросы, чтобы разрешить прохождение обратных пакетов соединения.

[nevolex]

да я как раз хотел написать что connected-маршрут есть и он /24 и и дистанция у него 0 даже когда я добвляю 10.10.10.0/24 через 10.10.10.1 дистанция у него 1.

а как тогда моем случае разрешить проблему без костылей?
я могу конечно указать сеть /25 к через 10.10.10.1 это наверное покроет все хосты в сети но все-равно это выглядит как то криво а connected-маршрут я не могу подавить


получается, что через НАТ это даже лучше выглядит

[Chupaka]

Ну, правильнее - смотреть, почему 10.10.10.1 так вредничает. Про его настройки пока разговора не было. А чтобы накостылять более-менее красиво - можете добавить в маршруты вместо одной /24 две /25 подсети: 10.10.10.0/25 и 10.10.10.128/25 - они будут приоритетнее, поэтому перекроют connected

[nevolex]

Ну, правильнее - смотреть, почему 10.10.10.1 так вредничает. Про его настройки пока разговора не было. А чтобы накостылять более-менее красиво - можете добавить в маршруты вместо одной /24 две /25 подсети: 10.10.10.0/25 и 10.10.10.128/25 - они будут приоритетнее, поэтому перекроют connected

да я так и сделал, но тогда не открывается 10.10.10.2 из 10.10.10.0/24
по-поводу главного роутера 10.10.10.1 это ПалоАлто и почему он фильтрует я не разобрался там есть механизм защиты зон, все отключил но все рано не помогло.