OpenVPN tun 路由(可以 ping tun 接口)与 mikrotik 和 NAT 在两端

tag-icon tag-icon linux routing openvpn nat mikrotik
OpenVPN tun 路由(可以 ping tun 接口)与 mikrotik 和 NAT 在两端

问题

Mikrotik 站点无法 ping 服务器站点上的任何内容。服务器站点目前不太重要。

OpenVPN 服务器配置在 LINUX 上

port 1194
proto tcp
dev tun
ca ca.crt
cert cert.crt
key cert.key
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
puch route 192.168.0.0 255.255.255.0
client-to-client
keepalive 10 120
persist-key
persist-tun
ver 3
mute 20

ipv4_fowarding 已启用

Open VPN Client 位于 Mikrotik 路由器上

connect to: server.public.ip
port: 1194
mode: ip
user: user
password: passwrd
profile: openvpn-out
cert: cert
auth: sha1
cipher: blowfish 128

**openvpn-out profile**
name: openvpn-out
change tcp mss: default
use mpls: default
use compression: default
use vj compression: default
use encryption: default

通过这些设置 mikrotik 给出:连接已建立,并且所有应该在 mikrotik 本身上工作

1)从 mikrotik 路由器,我无法 ping 通 TUN 接口(10.8.0.2)服务器,但可以 ping 通自己的 TUN(10.8.0.46)和服务器站点上的子网(192.168.0.0)

2) Mikrotik 站点子网的客户端无法在服务器站点上 ping 通任何内容,只能在 mikrotik (10.8.0.46) 上 ping 通 TUN 接口

3)从服务器我可以 ping Mikrotik 的 TUN 接口(10.8.0.46),但无法在该站点(192.168.2.0)上进行子网划分

4) 服务器子网的客户端无法在 Mikrotik 站点上 ping 任何内容,只能在 Mikrotik 和服务器上 ping TUN 接口

Mikrotik 界面

ether1 - dynamic.ip.addres
OPVN - 10.8.0.46 network 10.8.0.45
bridge1 - 192.168.2.1/24

Mikrotik 路线:

   ds.address  gw 
    0.0.0.0/0   public.ip.address reachable ether1
    10.8.0.0/24 10.8.0.45 reachable OVPN
    10.8.0.45   OVPN reachable 
    public.ip   ether1 reachable 
    192.168.0.0/24 OVPN reachable 
    192.168.2.0/24 bridge1 reachable

Mikrotik ping 192.168.0.0 没有问题 mikrotik 的客户端无法

服务器接口

eth0 - public.ip.addre
eth1 - 192.168.0.9
tun0 - 10.8.0.1 p-t-p:10.8.0.2

服务器路由:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         public.ip.addre 0.0.0.0         UG    100    0        0 eth0
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
10.8.0.2        *               255.255.255.255 UH    0      0        0 tun0
localnet        *               255.255.255.252 U     0      0        0 eth0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth1
192.168.2.0     10.8.0.1        255.255.255.0   UG    0      0        0 tun0

服务器无法 ping 192.168.2.0,无法 ping 10.8.0.46。服务器客户端只能 ping 10.8.0.46

我假设 iptables 在某种程度上设置正确,因为连接已建立并且 mikrotik 可以 ping 其他站点上的任何内容。

微规则

srcnat -o ether1 -acction masquerade

答案1

解决方案

Mikrotik nat for OPVN 缺失:

srcnat -o OPVN -acction masquerade

这修复了 Mikrotik 网站上的问题

答案2

如果您只想从 Mikrotik 访问另一个站点的子网,您确实可以在 Mikrotik 上使用 NAT 规则。从您的帖子中我了解到您正在尝试设置站点到站点的 VPN,您希望从两个站点访问这两个子网。

为此,您只需要在连接的两端设置正确的路由表和防火墙。尝试将路由到 192.168.2.0 的网关从 10.8.0.1 更改为 10.8 范围内的 Mikrotik 地址。因为您的 Mikrotik 是此子网的网关,而不是位于 10.8.0.1 上的您自己的 Linux 服务器。

相关内容