Направить трафик в OpenVPN

Тема в разделе "Вопросы начинающих", создана пользователем Johnny7c3, 9 ноя 2016.

  1. Johnny7c3

    Johnny7c3 Участник

    Сделал OpenVPN-туннель между HAP AC и RB3011.

    Подскажите, как сделать, чтобы весь трафик стал ходить через VPN, а не только в виртуальной подсети между этими маршрутизаторами?
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Указать маршрут по умолчанию.
     
  3. Johnny7c3

    Johnny7c3 Участник

    Маршрут в туннель имеется:

    # DST-ADDRESS PREF-SRC GATEWAY DISTANCE
    0 ADS 0.0.0.0/0 192.168.1.1
    1 ADC 10.0.0.10/32 10.0.0.20 ovpn-out1
    2 ADC 172.16.1.0/24 172.16.1.1 bridge1
    3 ADC 192.168.1.0/24 192.168.1.122 ether1

    Адрес сервера - 10.0.0.10
    Адрес клиента - 10.0.0.20

    Нужен ещё маршрут?
     
  4. Илья Князев

    Илья Князев Администратор Команда форума

    Так а какой трафик должен ходить через VPN?
     
  5. Johnny7c3

    Johnny7c3 Участник

    Видимо, я не до конца понимаю принцип VPN.
    Если не брать зашифрованный канал между сервером и клиентом и, соответственно, их подсетями (в обоих случаях микротики), то разве, клиентская сторона не должна гонять трафик к серверу, чтобы тот его шифровал, пересылал обратно, а клиент бы его расшифровывал? Разе не так работает VPN поверх открытой (незащищённой) сети?
     
  6. Илья Князев

    Илья Князев Администратор Команда форума

    Я не понимаю вашей задачи.
    Давайте вы ее опишите простыми словами. Например:
    У меня есть микротик. К нему подключены клиенты с адресами 192.168.88.0/24 и есть VPN на сервер.
    Я хочу... Сделал... Не получается...
     
  7. Johnny7c3

    Johnny7c3 Участник

    Хорошо.

    Есть HAP AC (клиент) и RB3011 (сервер), между ними VPN-туннель (OpenVPN). Связь установлена, абоненты со стороны сервера и клиента видят друг друга, динамическая маршрутизация, добавленная по умолчанию, работает.
    Сеть между клиентом и сервером:
    10.0.0.20 - клиент
    10.0.0.10 - сервер

    Внутри HAP AC настроено адресное пространство 172.16.1.1/24 и работает wi-fi.
    Соответственно, когда я беру телефон и подключаюсь по wi-fi к HAP AC, я получаю адрес 172.16.1.xxx
    После чего я открываю браузер, начинаю ходить по сайтам и вижу, что трафик в сети 172.16.1.xxx не шифруется.

    Почему? Разве он не должен заворачиваться в VPN, отправляться на сервер для шифровки, приходить обратно на HAP AC и в дальнейшем мне на телефон? Почему шифруется только сеть 10.0.0.xxx?
     
  8. Илья Князев

    Илья Князев Администратор Команда форума

    Для того, чтобы трафик попал в шифрованный туннель, его надо явно туда направить.
    Т.е. на данный момент у вас будет шифроваться только если вы прямо с Микротика пингуете сервер.
     
  9. Johnny7c3

    Johnny7c3 Участник

    Вы оказались правы. Экспериментальным путём выявил, что подсеть 10.0.0.xxx - это диапазон провайдера, в нём я и находил неведомые мне хосты в размере 20 штук, которые я не мог понять откуда взялись, думая, что это компьютеры с той стороны туннеля. Считал, маршрут работает.
    Взял другой диапазон для туннеля - 100.64.0.0/24
    Сервер - 100.64.0.10
    Клиент - 100.64.0.20

    Запускаю туннель. Таблица маршрутов:

    # DST-ADDRESS PREF-SRC GATEWAY DISTANCE
    0 ADS 0.0.0.0/0 192.168.1.1 0
    1 ADC 100.64.0.10/32 100.64.0.20 l2tp-out1 0
    2 ADC 172.16.1.0/24 172.16.1.1 bridge1 0
    3 ADC 192.168.1.0/24 192.168.1.122 ether1 0

    С ноутбука, подключенным к HAP AC (клиент), пробую пропинговать VPN-сервер (100.64.0.10). Пинг не проходит.
    С клиентской стороны, в микротике, ставлю в настройке туннеля галку на опцию "Add Defaul Route". После чего, таблица принимает вид:

    # DST-ADDRESS PREF-SRC GATEWAY DISTANCE
    0 ADS 0.0.0.0/0 192.168.1.1 0
    1 DS 0.0.0.0/0 100.64.0.10 0
    2 ADC 100.64.0.10/32 100.64.0.20 l2tp-out1 0
    3 ADC 172.16.1.0/24 172.16.1.1 bridge1 0
    4 ADS 185.145.24.13/32 192.168.1.1 0
    5 ADC 192.168.1.0/24 192.168.1.122 ether1 0

    После этого перестаёт работать интернет. Сервер не пингуется.
    Не пойму, где ошибка.
     
    Последнее редактирование: 12 ноя 2016
  10. Илья Князев

    Илья Князев Администратор Команда форума

    У вас интернет статика или dhcp?
     
  11. Johnny7c3

    Johnny7c3 Участник

  12. Илья Князев

    Илья Князев Администратор Команда форума

    А. Все увидел. Вопрос был лишний.
    Вам надо Masquarde в NAT прописать на out-interface=l2tp-out1
     
  13. Johnny7c3

    Johnny7c3 Участник

    Спасибо. Связь с сервером появилась.
    А как теперь заворачивать трафик до сервера, чтобы интернет на клиентском микротике весь шифрованный был?
     
  14. Илья Князев

    Илья Князев Администратор Команда форума

    Так уже. У вас маршут 0.0.0.0/0 это default-gateway.
     
  15. Johnny7c3

    Johnny7c3 Участник

    Странно. В туннель попадает только тот трафик, который ты целенаправленно в него посылаешь/запрашиваешь.
    Интернет живёт своей жизнью, то есть в туннель не посылается и не шифруется.

    На серверной стороне маршрутов никакие не надо прописать?
     
  16. Илья Князев

    Илья Князев Администратор Команда форума

    Поставьте в dhcp-client на wan-инетфейсе distance=10
     
  17. Johnny7c3

    Johnny7c3 Участник

    Поставил. К сожалению, не помогло.
     
  18. Илья Князев

    Илья Князев Администратор Команда форума

    Вот этот маршрут у вас говорит, что весь трафик должен идти в VPN
     
  19. Johnny7c3

    Johnny7c3 Участник

    Подсеть 192.168.1.1 - это пространство роутера ASUS, который находится между мной и провайдером. Через него подключен микротик. На нём я пробросил все порты и отдельным пунктом разрешил проход трафика для туннелей.

    Дело в нём?
     
  20. Илья Князев

    Илья Князев Администратор Команда форума

    не в нем.
    Дайте мне /ip route print при подключенном тоннеле.