OpenVPN(Ubuntu)+MikroTik

[LLleux]

Доброго времени суток всем!

Есть MikroTik ether1 - ip белый, ether2 - мост (dhcp 192.168.1.10-100), ether3 - мост (dhcp 192.168.10.1-100). Настроен сервер OpenVPN на Ubuntu 18.04 (ip 192.168.1.252). Когда подключаешься к впн из локальной сети, подключение происходит нормально. Когда подключаешься из инета, идет ошибка: read UDP: Unknown error (code=10054).

Конфигурация OpenVPN сервера

Код: Выделить всё

port 1194
proto udp
dev tun
ca ca.crt
cert srvvpn.crt
key srvvpn.key
dh dh2048.pem
tls-auth ta.key 0
cipher AES-256-CBC
auth SHA256
server 10.0.10.0 255.255.255.0
keepalive 10 120
persist-key
persist-tun
client-config-dir ccd
status srvvpn.log
log /var/log/srvvpn.log
comp-lzo
verb 3
sndbuf 0
rcvbuf 0
push "redirect-gateway def1"
push "dhcp-options DNS 82.209.240.241"

Конфигурация клиента

Код: Выделить всё

client 
dev tun
proto udp 
remote xxx.xxx.xxx.xxx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert adm.crt
key adm.key
tls-auth ta.key 1
cipher AES-256-CBC
auth SHA256
ns-cert-type server
comp-lzo
log adm.log
verb 5
sndbuf 0
rcvbuf 0

на Ubuntu

Код: Выделить всё

iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  10.0.10.0/24         anywhere

на MikroTik

Код: Выделить всё

/ip firewall filter print 
Flags: X - disabled, I - invalid, D - dynamic

я не силен пока в таких вопросах, помогите, чем сможете

[Chupaka]

Доброго.

Что значит "мост"? Это два разных моста?

Как клиенты подключаются из Интернета? У сервера есть ещё и внешний адрес?

Ошибка эта на клиенте или на сервере?

[LLleux]

Доброго.

Что значит "мост"? Это два разных моста?

на каждый порт свой мост.

Как клиенты подключаются из Интернета? У сервера есть ещё и внешний адрес?

да, из интернета. сервер находится за микротиком на втором мосту.

Ошибка эта на клиенте или на сервере?

на клиенте.

[Chupaka]

Как клиенты подключаются из Интернета? У сервера есть ещё и внешний адрес?

да, из интернета. сервер находится за микротиком на втором мосту.

Там запятой нет. Вопрос - именно "Как клиенты подключаются из Интернета?", а не "Как клиенты подключаются, из Интернета?".

Правил NAT никаких вы не приводили - они есть? Проброс этого порта с внешнего адреса роутера на сервер OVPN, например...

[LLleux]

Там запятой нет. Вопрос - именно "Как клиенты подключаются из Интернета?", а не "Как клиенты подключаются, из Интернета?".

прошу прощения за недопонимание.
клиент подключается при помощи OpenVPNGUI (Win7 x64).

Правил NAT никаких вы не приводили - они есть? Проброс этого порта с внешнего адреса роутера на сервер OVPN, например...

нет, вот тут я и застрял. все, что находил по описания по пробросу порта и написанию правил NAT, не помогает.

[Chupaka]

Я не могу обсуждать всё, что вы находили. Вы пишите конкретно, как у вас сделано - и я попробую сказать, почему не работает и как исправить.

З.Ы. Под "как" имелось в виду, как их пакеты из Интернета попадают к серверу, если у сервера есть только внутренний адрес 192.168.x.y

[LLleux]

на микротике

nat правила

chain=srcnat action=masquerade out-interface=ether1 log=no log-prefix=""

1 openvpn
chain=dstnat action=dst-nat to-addresses=192.168.1.252 to-ports=1194 protocol=udp in-interface=ether1 src-port=1194 log=no log-prefix=""

[Chupaka]

src-port=1194 попробовать убрать из правила, на всякий случай, и добавить dst-port=1194

[LLleux]

src-port=1194 попробовать убрать из правила, на всякий случай, и добавить dst-port=1194

не помогло.

когда убирается из правил src-port=1194 и dst-port=1194, то пакеты входящие есть (смотрю по статистике микротика), не зависимо от того, подключаешься или нет. как только добавляешь dst-port=1194, пакеты не идут, так же и при подключении. такое впечатление, что порт вообще закрыт.

[Chupaka]

Вы поставьте галку Log в Action - увидите, что там совершенно левый трафик летит, когда всё убирается. А если с dst-port=1194 пакеты не идут - значит, их там и нет. Провайдер не фильтрует? Адрес, к которому пытается подключаться клиент, в IP -> Addresses есть?

[LLleux]

Вы поставьте галку Log в Action - увидите, что там совершенно левый трафик летит, когда всё убирается. А если с dst-port=1194 пакеты не идут - значит, их там и нет. Провайдер не фильтрует? Адрес, к которому пытается подключаться клиент, в IP -> Addresses есть?

провайдер не блокирует (сегодня узнавал у тех. поддержки). в IP -> Addresses ether1 получает белый ip от провайдера по dhcp-client (вроде бы все нормально).

[Chupaka]

С интернет-клиента пинг на IP роутера идёт?

[LLleux]

Все заработало!!! Была проблема как всегда в администраторе и его невнимательности!

Chupaka спасибо за помощь!