опенвпн работает в юзерспейсе, и добавление на сервер маршрутов через route add не работает. Нужно отдельно создавать в конфигах опенвпн сервера маршруты до сетей, которые ЗА клиентами

от оно как Михалыч

вот и ответ

это провокация, это работало в TAP # ip route ... 10.200.0.0/16 via 10.244.100.5 dev tun0 ...

а с tap оно не нужно потому, что там вроде как один бродкаст-домен

запустите пинг до 10.200.5.2 и посмотрите tcpdump -i tun0 пакеты точно уходят в туннель?

его сам впн сервер поднял

но это не точно, я этим не занимался

впн сервер работает от рута

и маршрут поднять ему ничто не стоит

как вам будет угодно)

запустите пинг до 10.200.5.2 и посмотрите tcpdump -i tun0 пакеты точно уходят в туннель?

# tcpdump -p icmp -i tun0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on tun0, link-type RAW (Raw IP), capture size 262144 bytes 13:09:58.384143 IP myserver > 10.200.5.2: ICMP echo request, id 24718, seq 1, length 64

а вот с тика в обратном направлении в другую подсеть пинги смело гуляют

так что дело не в сервере

маршрутизация через ip route будет работать, но не для траффика, связанного с Openvpn

похоже баг ovpn на тике

да хватит уже пинговать и трейсрутить. Сказано же: openvpn в режиме tun игнорирует таблицу маршрутизации ядра системы. IP ROUTE не работает для него. Нужно настроить routed lans в конфиге овпн-сервера

нет никакого бага, всё там нормально работает

почему тогда с тика через сервер в другую подсеть коннект есть?

а именно в 10.244.1.0/24 связь прекрасна

наверное влияет добавленный через ip route маршрут. Но он должен добавиться автоматически службой openvpn исходя из настроек routed lans (в папке ccd)

# grep route devps-tcp.conf route 192.168.42.0 255.255.255.0 10.2.2.1 push "route 10.2.2.0 255.255.255.0" # cat ccd/mikrotik iroute 192.168.42.0 255.255.255.0 # grep ccd devps-tcp.conf client-config-dir ccd

вот без второй и третьей части сети за клиентами не будут маршрутизироваться нормально

тут 10.2.2.0 - сеть openvpn, 192.168. - сеть ЗА микротиком

может я чего не понимаю, но tcpdump сказал что пакет ушел в tun0

ушёл, потому что в системе есть маршрут до 10.200 через 10.244

но полноценной связности не будет, если не сделать по мануалу

значит должен прийти на микротик?

должен

а автор говорит что не приходит

ну нам может и должен

и можно дальше превозмогать. Но есть официальный мануал по openvpn, где говорится, что делать надо определённым образом

если и так должно , то зачем нужно то, что описано в мануале?

хоть подымай опенвпн на виртуалке...

постойте, ССD = client config dir?

да

значит это нечто должно пушиться в тик?

а не в сам сервер?

скорее всего нет. Это что-то должно сообщить службе Openvpn на сервере, что за данным клиентом есть определённая подсеть

так как ему срать на маршрут, созданный через ip route

ну я не знаю уже, как ещё сказать

есть официальный гайд, по которому гарантированно всё работает, а вы хотите, опираясь на свои неполные знания, заставить это работать оставив только половину конфигурации

(не в обиду будет сказано)

на полноту своих знаний я тоже не претендую, уж понятно

у меня не укладывается 2 вещи: почему тогда все работало в TAP? почему пакеты уходят в tcpdump но на самом деле нет?

в ТАП не было маршрутизации

был бриджинг

небыло никакого бриджа

был tap0

https://openvpn.net/index.php/open-source/faq/75-general/311-what-are-the-fundamental-differences-between-bridging-and-routing-in-terms-of-configuration.html

это у вас не было, а у openvpn было)

хм, If you are routing you can use either --dev tap or --dev tun

с tap тоже роутинг бывает...

виноват

придется возвращаться на tap

да сделайте уже ccd

элементарно же

в папку положить файл с именем клиента, в файл написать, какая сеть за этим клиентом (10.200)

для каждого клиента, чью сеть надо маршрутизировать

Это трейс до микротика, который клиент: $ traceroute 10.2.2.42 traceroute to 10.2.2.42 (10.2.2.42), 30 hops max, 60 byte packets 1 10.2.2.42 (10.2.2.42) 71.043 ms 133.244 ms 133.212 ms Это трейс до машины за микротиком: $ traceroute 192.168.42.164 traceroute to 192.168.42.164 (192.168.42.164), 30 hops max, 60 byte packets 1 10.2.2.42 (10.2.2.42) 68.145 ms 131.680 ms 131.651 ms 2 192.168.42.164 (192.168.42.164) 131.583 ms 131.560 ms 131.522 ms

это просто и это работает

без tap

... заработало ...

Спасибо Илья

Пожалуйста. Сам бы помер с настройкой, если б мне про routed lans не подсказали

но всеравно страно все это

надо l2tp и всё будет привычно)

надо l2tp и всё будет привычно)

IPSec еще тот геморрой.

ERROR: S client not available

есть маненько

но не настолько, чтобы не осилить

но не настолько, чтобы не осилить

Так тут дело даже не в том, чтобы осилить. Без аппаратного ускорения - это боль.

надо l2tp и всё будет привычно)

Это л2

для меня большей проблемой оказалось на l2tp клиента (микрот) выдать адрес из приватной сети. С убунты не смог. А потом с микротик-сервера смог. И оказалось, что это на клиенте с профилем что-то намудрил, и он сам себе назначал адрес из левой подсети

Так тут дело даже не в том, чтобы осилить. Без аппаратного ускорения - это боль.

смотря какие цели. Меня вполне устраивает pptp для туннелирования dns-запросов

смотря какие цели. Меня вполне устраивает pptp для туннелирования dns-запросов

ИМХО, чаще всего достаточно голого тоннеля и шифровать трафик уже на клиенте.

факт в том, что провайдер анализирует dns запросы, и на 80 порту трафиик

а на других портах пофиг

кстати, к тику можно подключить допофисы по Л3+ipsec, при условии что клиенты могут быть за натом?

то есть, если я через впн отрезолвил адрес рутрекера, то зайти на рутрекер:443 я могу напрямую, а на рутрекер:80 провайдер даёт заглушку

почему IPsec -> хочу рб3011 с аппаратным шифрованием ipsec

l2tp+ipsec в туннельном режиме, называет

то есть, если я через впн отрезолвил адрес рутрекера, то зайти на рутрекер:443 я могу напрямую, а на рутрекер:80 провайдер даёт заглушку

DoH

выдаём через l2tp приватные адреса клиентам за натом, и потом полиси ipsec между этими приватными адресами создаём

Кстати, оффтопну немного, подскажите регистратора с поддержкой DNSSEC для .one .cloud?

а я спрошу по теме - если ipsec при попытке соединиться (rsa signature) пишет в логах can't get private key, как можно это исправить? Идеи кончились

ясно что нужно где-то подкрутить ключ, но где — я без понятия

в ipsec -> keys приватник импортирован, но пользы это не дало

Коллеги, всем добрый день. Кто-то предоставляет юзерам iptv?

а я спрошу по теме - если ipsec при попытке соединиться (rsa signature) пишет в логах can't get private key, как можно это исправить? Идеи кончились

а где юзаешь IPSec?

а где юзаешь IPSec?

перефразируй

перефразируй

для чего используется?

для чего используется?

Linux (strongswan) <—> MikroTik

Linux (strongswan) <—> MikroTik

туннель поднимаешь?

ну это один из пунктов настройки. Да туннель

там же не только peers настривается, но и policy, props

там же не только peers настривается, но и policy, props

Не могу сказать, юзаю МТшные GRE+IPSec, IPIP+IPSec, поэтому не могу сказать как там в *NIX это делается...

а зачем так сложно? ppp - l2tp client + ip-firewall-nat там прописать маскарадинг в туннель. всё.

а зачем так сложно? ppp - l2tp client + ip-firewall-nat там прописать маскарадинг в туннель. всё.

я для примера, сам такое не использую

Не могу сказать, юзаю МТшные GRE+IPSec, IPIP+IPSec, поэтому не могу сказать как там в *NIX это делается...

кмк дело не в никсах, ибо ошибка в логах микрота. Поэтому, опять таки кмк, именно микрот не может подгрузить ключ