Вход | Регистрация


OpenVPN на миротике, нет пинга внутри vpn-сети

OpenVPN на миротике, нет пинга внутри vpn-сети
Я
   lg2marvel
 
07.12.18 - 12:10
Добрый день. Второй день мучаюсь с проблемой. Настроил VPN сервер на микротике, клиенты подключаются с клиентов пингуется сам роутер (10.3.1.1), но клиенты не имеют доступа друг к другу (ip клиента 10.3.1.11 и 10.3.1.201, сеть 10.3.0.0/16)

Конфиг клиента openvpn:

proto tcp-client
# в этой строчке мы указываем адрес в интернете нашего микротика
remote 192.168.1.210
dev tap
nobind
persist-key
tls-client
#указываем имена публичного CA сертификата
ca ca.crt
# публичного сертификата клиента
cert client.crt
# и его закрытый ключ
key  client.key
#каждые 10 секунд проверять туннель, если нет ответа 120 секунд, переподключаться
keepalive 10 120
verb 3
cipher AES-256-CBC
auth SHA1
pull
#проверка сертификата сервера
#https://openvpn.net/index.php/open-source/documentation/howto.html#mitm
remote-cert-tls server
# эта строка задаёт файл с логином-паролем которые мы прописывали в PPP-Secrets на микротике
auth-user-pass auth.cfg
# в этой части мы задаём настройки сетей которые находятся за микротиком,
# в моём случае 192.168.1.0 с маской 255.255.255.0 это сеть,
# а 172.21.108.1 это адрес микротика который мы указывали в PPP профиле
route-method exe
route-delay 2
route 10.3.0.0 255.255.0.0 10.3.1.1

На роутере в фаерволе открыт порт 1194 (ну собственно иначе не было бы подключения)
http://i.piccy.info/i9/d443608c2d9346dd04e5c47ba6db1012/1544173733/82378/1287198/Snymok.jpg

И маршруты на роутере:
http://i.piccy.info/i9/2c13b47a375350d57276246b38b08628/1544173803/39796/1287198/Snymok1.jpg

Маршруты с клиента:
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.32     25
         10.3.0.0      255.255.0.0         On-link       10.3.10.254    291
         10.3.0.0      255.255.0.0         10.3.1.1      10.3.10.254    291
      10.3.10.254  255.255.255.255         On-link       10.3.10.254    291
     10.3.255.255  255.255.255.255         On-link       10.3.10.254    291
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
      192.168.1.0    255.255.255.0         On-link      192.168.1.32    281
     192.168.1.32  255.255.255.255         On-link      192.168.1.32    281
    192.168.1.255  255.255.255.255         On-link      192.168.1.32    281
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link       10.3.10.254    291
        224.0.0.0        240.0.0.0         On-link      192.168.1.32    281
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link       10.3.10.254    291
  255.255.255.255  255.255.255.255         On-link      192.168.1.32    281
===========================================================================
Постоянные маршруты:
  Отсутствует

и ipconfig  с клиента
Адаптер Ethernet Ethernet 2:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : TAP-Windows Adapter V9
   Физический адрес. . . . . . . . . : 00-FF-95-CE-6E-E2
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   Локальный IPv6-адрес канала . . . : fe80::a089:fd92:b93f:f03e%24(Основной)
   IPv4-адрес. . . . . . . . . . . . : 10.3.10.254(Основной)
   Маска подсети . . . . . . . . . . : 255.255.0.0
   Аренда получена. . . . . . . . . . : 7 декабря 2018 г. 11:58:20
   Срок аренды истекает. . . . . . . . . . : 7 декабря 2019 г. 11:58:20
   Основной шлюз. . . . . . . . . :
   DHCP-сервер. . . . . . . . . . . : 10.3.0.0
   IAID DHCPv6 . . . . . . . . . . . : 402718613
   DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-23-84-30-06-B0-6E-BF-33-13-F6
   DNS-серверы. . . . . . . . . . . : fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1
   NetBios через TCP/IP. . . . . . . . : Отключен

Чего ему не хватает?
 
 
   arsik
 
1 - 07.12.18 - 12:23
ДОбавить правило в файерволл. Forward между клиентами впн
   Garykom
 
2 - 07.12.18 - 12:32
>Чего ему не хватает?

Двух камней
   lg2marvel
 
3 - 07.12.18 - 12:55
(2) ну не серьезноже
(1) сделал два forward между двумя интерфейсами (ovpn-user1 и ovpn-user2) с одного на другой и обратно - не работает :(
   arsik
 
4 - 07.12.18 - 13:11
(3) Для теста, сначала разреши первым правилом форвард из подсети впн или разреши любой форвард. Что бы понять, в фаерволе дело или нет. Я думаю что в нем.
   lg2marvel
 
5 - 07.12.18 - 13:21
http://i.piccy.info/i9/537d9be8f581b37e7c7a3297288f55b3/1544178165/90331/1287198/Snymokashchktsf.jpg

но пинг по прежнему только на сервер и с сервера
   CepeLLlka
 
6 - 07.12.18 - 13:25
(0)Для начала отключи все правила FW и проверь..

Если поможет, то проблема в FW, если не поможет.. то смотри маршрутизацию для начала..
   lg2marvel
 
7 - 07.12.18 - 13:39
(6) не помогло.
   с2д
 
8 - 07.12.18 - 14:04
(7) Тогда создай такую же тему на кулинарном форуме.
   CepeLLlka
 
9 - 07.12.18 - 14:06
(7)Если с выключенным FW не помогло, смотри настройки OVPN ещё..

mode ethernet?
   fbear
 
10 - 07.12.18 - 14:17
Надо push'ить маршруты
 
 Рекламное место пустует
   eklmn
 
11 - 07.12.18 - 14:18
(9) он в подсетях запутался, бесполезно гадать.
Его носом надо тыкать в конкрентные места при этом говорить "Ну что тут не понятного, видишь они разные"
   lg2marvel
 
12 - 07.12.18 - 14:22
(9) да ethernet
   lg2marvel
 
13 - 07.12.18 - 14:23
(11) да одна подсеть 10.3.0.0
с обоих компов пингуется 10.3.1.1, с сервера пингутся оба компа, но не пингуются между собой
   lg2marvel
 
14 - 07.12.18 - 14:28
в профиле vpn сервера локальный адрес 10.3.1.1, dhcp пул тоже 10.3.1.200-10.3.1.254 (но в данном случае адреса присвоены)

Да сервер раздает еще интернет и выдает адреса в подсети 10.1.0.0 но ведь это другая история, я не претендую на доступ из внешней сети, мне хотя бы доступ внутри и все довольны.
   lg2marvel
 
15 - 07.12.18 - 14:40
(10) Да видимо вы были правы.

маршруты друг на друга напрямую решили проблему

всем спасибо, буду писать маршруты в конфиге и бует счастье
   lg2marvel
 
16 - 07.12.18 - 14:43
route add 10.3.0.0 mask 255.255.0.0 10.3.1.1 вот хз почему вот это не срабатывает, нужно именно на конкретный адрес

Список тем форума
Рекламное место пустует  Рекламное место пустует
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Рекламное место пустует