Сделал OpenVPN-туннель между HAP AC и RB3011. Подскажите, как сделать, чтобы весь трафик стал ходить через VPN, а не только в виртуальной подсети между этими маршрутизаторами?
Маршрут в туннель имеется: # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADS 0.0.0.0/0 192.168.1.1 1 ADC 10.0.0.10/32 10.0.0.20 ovpn-out1 2 ADC 172.16.1.0/24 172.16.1.1 bridge1 3 ADC 192.168.1.0/24 192.168.1.122 ether1 Адрес сервера - 10.0.0.10 Адрес клиента - 10.0.0.20 Нужен ещё маршрут?
Видимо, я не до конца понимаю принцип VPN. Если не брать зашифрованный канал между сервером и клиентом и, соответственно, их подсетями (в обоих случаях микротики), то разве, клиентская сторона не должна гонять трафик к серверу, чтобы тот его шифровал, пересылал обратно, а клиент бы его расшифровывал? Разе не так работает VPN поверх открытой (незащищённой) сети?
Я не понимаю вашей задачи. Давайте вы ее опишите простыми словами. Например: У меня есть микротик. К нему подключены клиенты с адресами 192.168.88.0/24 и есть VPN на сервер. Я хочу... Сделал... Не получается...
Хорошо. Есть HAP AC (клиент) и RB3011 (сервер), между ними VPN-туннель (OpenVPN). Связь установлена, абоненты со стороны сервера и клиента видят друг друга, динамическая маршрутизация, добавленная по умолчанию, работает. Сеть между клиентом и сервером: 10.0.0.20 - клиент 10.0.0.10 - сервер Внутри HAP AC настроено адресное пространство 172.16.1.1/24 и работает wi-fi. Соответственно, когда я беру телефон и подключаюсь по wi-fi к HAP AC, я получаю адрес 172.16.1.xxx После чего я открываю браузер, начинаю ходить по сайтам и вижу, что трафик в сети 172.16.1.xxx не шифруется. Почему? Разве он не должен заворачиваться в VPN, отправляться на сервер для шифровки, приходить обратно на HAP AC и в дальнейшем мне на телефон? Почему шифруется только сеть 10.0.0.xxx?
Для того, чтобы трафик попал в шифрованный туннель, его надо явно туда направить. Т.е. на данный момент у вас будет шифроваться только если вы прямо с Микротика пингуете сервер.
Вы оказались правы. Экспериментальным путём выявил, что подсеть 10.0.0.xxx - это диапазон провайдера, в нём я и находил неведомые мне хосты в размере 20 штук, которые я не мог понять откуда взялись, думая, что это компьютеры с той стороны туннеля. Считал, маршрут работает. Взял другой диапазон для туннеля - 100.64.0.0/24 Сервер - 100.64.0.10 Клиент - 100.64.0.20 Запускаю туннель. Таблица маршрутов: # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADS 0.0.0.0/0 192.168.1.1 0 1 ADC 100.64.0.10/32 100.64.0.20 l2tp-out1 0 2 ADC 172.16.1.0/24 172.16.1.1 bridge1 0 3 ADC 192.168.1.0/24 192.168.1.122 ether1 0 С ноутбука, подключенным к HAP AC (клиент), пробую пропинговать VPN-сервер (100.64.0.10). Пинг не проходит. С клиентской стороны, в микротике, ставлю в настройке туннеля галку на опцию "Add Defaul Route". После чего, таблица принимает вид: # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADS 0.0.0.0/0 192.168.1.1 0 1 DS 0.0.0.0/0 100.64.0.10 0 2 ADC 100.64.0.10/32 100.64.0.20 l2tp-out1 0 3 ADC 172.16.1.0/24 172.16.1.1 bridge1 0 4 ADS 185.145.24.13/32 192.168.1.1 0 5 ADC 192.168.1.0/24 192.168.1.122 ether1 0 После этого перестаёт работать интернет. Сервер не пингуется. Не пойму, где ошибка.
Спасибо. Связь с сервером появилась. А как теперь заворачивать трафик до сервера, чтобы интернет на клиентском микротике весь шифрованный был?
Странно. В туннель попадает только тот трафик, который ты целенаправленно в него посылаешь/запрашиваешь. Интернет живёт своей жизнью, то есть в туннель не посылается и не шифруется. На серверной стороне маршрутов никакие не надо прописать?
Подсеть 192.168.1.1 - это пространство роутера ASUS, который находится между мной и провайдером. Через него подключен микротик. На нём я пробросил все порты и отдельным пунктом разрешил проход трафика для туннелей. Дело в нём?
