Какие шаги нужно предпринять для правильной настройки маршрутизации трафика через OpenVPN на MikroTik?

Question

Samuel

системное-администрирование , сети , сетевое-администрирование , роутинг

Какие шаги нужно предпринять для правильной настройки маршрутизации трафика через OpenVPN на MikroTik?

Я создал новый профиль OVPN на Mikrotik и выделил для него пул адресов 192.168.19.x. Добавил профили пользователей в ppp-secrets и настроил конфигурационный файл клиента. Машины подключаются и имеют доступ к сети через VPN с параметром redirect-gateway def1. Однако хосты не видят друг друга в своей подсети; они могут обращаться к другим подсетям через внутренний шлюз, но не могут найти друг друга. Пинг до каждого хоста проходит. Используя Wireshark, я заметил, что хост пытается найти MAC-адрес другого компьютера с помощью широковещательных запросов, и все адреса присутствуют в таблице ARP на Mikrotik. Файрволы отключены на всех устройствах, а в конфигурационном файле клиента указана команда route 172.16.19.x 255.255.255.0, но это не дало результатов. Интересно, что аналогичные действия на другом Mikrotik прошли успешно. Единственное заметное различие: в первом случае OpenVPN работает в режиме Ethernet, а во втором — в режиме IP. Подскажите, пожалуйста, в каком направлении мне следует искать решение этой проблемы?

30 августа 2024 г. 10:44

Ответы на вопрос 2

Похожие вопросы

Answer 1

Для успешной настройки маршрутизации трафика через OpenVPN на MikroTik и обеспечения взаимодействия хостов внутри сети, вам необходимо учесть несколько важных аспектов. Поскольку вы упомянули, что ваши клиенты подключаются и могут обращаться к другим подсетям, но не могут видеть друг друга, проблема может быть связана с использованием режима OpenVPN (Ethernet / TAP vs IP / TUN), настройками маршрутизации, ARP, а также фильтрацией трафика. Вот некоторые шаги, которые вы можете предпринять:

### 1. Режим работы OpenVPN
Вы уже отметили, что на одном MikroTik используется режим Ethernet (TAP), а на другом - режим IP (TUN). Если вы хотите, чтобы хосты видели друг друга в одной подсети, рекомендуется использовать режим TAP (Ethernet). Режим TUN создает маршрутизируемую сеть, в которой клиенты не могут передавать широковещательные сообщения (ARP), позволяя им взаимодействовать только через маршрутизацию.

### 2. Проверка конфигурации Pool и IP адреса
Убедитесь, что пул (192.168.19.x) и адреса, которые вы назначаете клиентам, не конфликтуют с уже существующими адресами в вашей локальной сети. Каждому подключенному клиенту должен быть назначен уникальный IP-адрес из этого пула.

### 3. Настройка маршрутизации
Проверьте свою маршрутизацию. Убедитесь, что MikroTik знает, как направлять трафик между клиентами, находящимися в VPN, и остальными сетями. Вам может понадобиться добавить статические маршруты, если они не назначаются автоматически.

### 4. Настройка Firewall
Проверьте настройки брандмауэра (Firewall). Убедитесь, что вы разрешили необходимый трафик между клиентами OpenVPN. Например, может потребоваться разрешить трафик в chain=forward для IP-адресов из пула OpenVPN.

```bash
/ip firewall filter
add action=accept chain=forward src-address=192.168.19.0/24
add action=accept chain=forward dst-address=192.168.19.0/24
```

### 5. Проверка ARP
Поскольку вы упомянули, что вы получаете ARP-запросы, проверьте, правильно ли настроены таблицы ARP на MikroTik. Убедитесь, что все нужные IP-адреса отображаются правильно и что не происходит конфликтов. Используйте команду `/ip arp print` для просмотра:

```bash
/ip arp print
```

### 6. Проверка конфигурации клиента
Убедитесь, что конфигурация клиента OpenVPN корректна:
- Используйте `route` для добавления маршрутов, если нужно.
- Убедитесь, что у вас нет команд, которые могут мешать трафику, такие как `block-outside-dns`, если вы используете DNS.

### 7. Тестирование
Проверьте соединение на уровне сети:
- Используйте ping для проверки связи между клиентами.
- Помните, что если вы используете режим TAP, клиенты могут посылать ARP-запросы напрямую, чтобы находить друг друга по MAC-адресам.

### 8. Логи и отладка
Используйте логи OpenVPN для диагностики проблем. Включите более детализированный вывод, если необходимо, и просмотрите результаты.

### Заключение
Если после всех этих шагов проблема сохраняется, стоит также проверить версию прошивки/routerOS на MikroTik и, возможно, сделать тест на чистой конфигурации, чтобы исключить потенциальные конфигурационные ошибки.

Answer 2

Ответ содержится в вопросе: 
 Единственные различия которые нашел между ними - в первом случае openvn работает в режиме ethernet, а во втором - в режиме ip. 
 
 Избавится от широковещательного трафика и довериться маршрутизации. Либо переключить в Ethernet mode.