Üdv.!
Adott egy Zentyal szerver ovpn szolgáltatással. Zentyal által legenerált file-al kb. 10 kliens szuperül működik.
Van egy iroda, ahol Mikrotik router szolágáltatja a hálózatot. A routert szeretném beállítani, hogy elvégezze az ovpn csatlakozást. És itt jön a gond.
Külön routernek Zentyal-on legyártott cert+key használva, beállítva becsatlakozik. Felhúzza a route szabályt, status:connected. Látszólag minden ok, de mégsem érem el magáról a routerről a távoli hálózatot. Se szerver, se kliens. Ha pingelem akkor az PPP oldalon az interface TX jelzi, hogy megy a csomag RX viszont nem. Tehát ha jól értem mintha nem érkeznének vissza a csomagok. Már próbálkoztam mindennel. Input accept, forward accept, maszkolás ppout-ra, de semmi.
Ha kliensen haszbnálom a cert+key-t akkor becsatlakozik és el is érem a távoli hálózatot.
távoli hálózat: 192.168.2.0/24
helyi hálózat: 192.168.250.0/24
VPN hálózat: 192.168.160.0/24
Ötlet?
- 1275 megtekintés
Hozzászólások
lődd ki a comp-lzo -t első körben, mikrotik nem támogatja
- A hozzászóláshoz be kell jelentkezni
És igen. Ez volt a gond.
Csak fene egy helyen van a konfig file... :)
- A hozzászóláshoz be kell jelentkezni
Már nemcsak a MikroTik nem támogatja a comp-lzo -t: https://community.openvpn.net/openvpn/wiki/DeprecatedOptions ; https://github.com/OpenVPN/openvpn/blob/master/Changes.rst#deprecated-features
- A hozzászóláshoz be kell jelentkezni
És a Zentyal is tudja, hogy a 192.168.250.0/24-et a Mikrotik felé kell routolnia? Ha nem, akkor állíts be NAT-ot a Mikrotiken.
- A hozzászóláshoz be kell jelentkezni
Maszkolva van ha erre gondolsz.
- A hozzászóláshoz be kell jelentkezni
tippre iroute paramter hianyzik, nezzel utana mire jo :)
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
iroute lesz ez a zentyalon ahogy a kollega is irta. persze a tuzfalszabalyok legyenek rendben forward chainben a mikrotiken, az irodai gepekhez/tol.
- A hozzászóláshoz be kell jelentkezni
Egyelőre még a routerből sem tudom pingelni a zentyal-t. Amíg ez nincs meg a forward lánccal hiába foglalkozok.
Azért gondolom, hogy nem Zentyal oldalról van a hiba, mert ha windows openvpn klienssel csatlakozok (kihagyva a routert) akkor minden ok.
- A hozzászóláshoz be kell jelentkezni
Én mindkét oldalon néznék hálózati csomag figyelést, hogy egyáltalán elér-e zentyalig a ping. MTU, fragment egyéb traffic shaping/ management nincs a konfigban? Érdemes lehet végignézni, RouterOS implementáció mit támogat, mit nem.
Szerk: jaigen, a mikrotik felveszi a VPN route szabályokat, vagy ignorálja?
- A hozzászóláshoz be kell jelentkezni
Felveszi a route táblába. Amit viszont nem értek. Régebben csináltam két mikrotik között OVPN-t. Ott kliens oldalon csak két sort visz fel a route táblába. Egyik sor a VPN route-je a másik pedig a szerver oldali hálózatba:
192.168.130.0/24 (ezt osztja ki a VPN-nel csatlakozott gépeknek)
192.168.140.0/24 (ez pedig a belső háló)
Mindkettőt a a VPN csatolón keresztül érik el.
A problémás esetben valamiért 3 route bejegyzést csinál.
192.168.2.0/24
192.168.160.1
192.168.160.53
- A hozzászóláshoz be kell jelentkezni
azt csak a kesobbiekre irtam. amikor hozzasozltam ugy tunt az irasodbol, hogy a szerver maga latszik, pingelheto csak a mogotte levo halozat nem.
zentyal-on a vpn interfacen futtass tcpdumpot, hogy eleri ez az icmp request a szervert es kuld e ra reply-t. ennek fuggvenyeben lehet tovabb nezelodni. mikrotiken a "torch" lehet segitsegedre ugyanebben.
- A hozzászóláshoz be kell jelentkezni