服务器 Gind.cn
  1. 服务器 Gind.cn
  3. OpenVPN的tun路由(可以ping通tun接口)两端mikrotik和NAT
Intereting Posts
Windows Server 2008 R2 64位上的新打印服务器 Nginx监听多个端口,但重写为一个 活动目录FRS问题。 13508错误等问题 Grub使用LVM在硬件RAID上安装失败 无法连接到IIS 7pipe理 在Consul注册后,让RabbitMQ Autocluster在Rabbit MQ上生成一个集群 后缀根据收件人更改主题 “A”logging去哪个子域? 使用Clonezill / DRBL DHCP作为主DHCP服务器 我怎样才能知道GRUB的安装位置? 对空间数据库系统的build议 使用nginx:需要来自公共IP的请求authentication,本地不需要authentication icinga2主机状态为被动主机 如何全局限制与iptables的TCP连接总数? ForwardAgent在Jenkins

OpenVPN的tun路由(可以ping通tun接口)两端mikrotik和NAT

问题

Mikrotik网站无法ping任何服务器上的网站。 服务器网站现在不太重要。

OpenVPN服务器configuration在LINUX上 

port 1194 proto tcp dev tun ca ca.crt cert cert.crt key cert.key dh dh1024.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt puch route 192.168.0.0 255.255.255.0 client-to-client keepalive 10 120 persist-key persist-tun ver 3 mute 20

ipv4_fowarding已启用

开放VPN客户端在Mikrotik路由器上

 connect to: server.public.ip port: 1194 mode: ip user: user password: passwrd profile: openvpn-out cert: cert auth: sha1 cipher: blowfish 128 **openvpn-out profile** name: openvpn-out change tcp mss: default use mpls: default use compression: default use vj compression: default use encryption: default

随着这些设置mikrotik给予:连接build立和所有应该工作的mikrotik本身

1)从mikrotik路由器我不能ping通TUN接口(10.8.0.2)服务器,但可以ping自己的TUN(10.8.0.46)和服务器网站上的子网(192.168.0.0)

2)Mikrotik网站的子网客户端无法ping通服务器上的任何东西,只有mikrotik上的TUN接口(10.8.0.46)

3)从服务器我可以ping Mikrotik的TUN接口(10.8.0.46),但不能在该网站上的子网(192.168.2.0)

4)服务器端子网的客户端无法在Mikrotik网站上ping任何东西,只有Mikrotik和Server上的TUN接口

Mikrotik界面 

 ether1 - dynamic.ip.addres OPVN - 10.8.0.46 network 10.8.0.45 bridge1 - 192.168.2.1/24

Mikrotik路线: 

  ds.address gw 0.0.0.0/0 public.ip.address reachable ether1 10.8.0.0/24 10.8.0.45 reachable OVPN 10.8.0.45 OVPN reachable public.ip ether1 reachable 192.168.0.0/24 OVPN reachable 192.168.2.0/24 bridge1 reachable

Mikrotik ping 192.168.0.0没有问题mikrotik的客户端不能

服务器接口 

 eth0 - public.ip.addre eth1 - 192.168.0.9 tun0 - 10.8.0.1 ptp:10.8.0.2

服务器路由: 

 Destination Gateway Genmask Flags Metric Ref Use Iface default public.ip.addre 0.0.0.0 UG 100 0 0 eth0 10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0 10.8.0.2 * 255.255.255.255 UH 0 0 0 tun0 localnet * 255.255.255.252 U 0 0 0 eth0 192.168.0.0 * 255.255.255.0 U 0 0 0 eth1 192.168.2.0 10.8.0.1 255.255.255.0 UG 0 0 0 tun0

服务器无法ping通192.168.2.0,ping 10.8.0.46。 服务器客户端只能ping 10.8.0.46

我认为iptables是以某种方式正确设置的,因为连接已经build立,mikrotik可以ping任何其他站点上的任何东西。

mikrotik nat规则 

 srcnat -o ether1 -acction masquerade

关于OPVN的Mikrotik nat失踪: 

 srcnat -o OPVN -acction masquerade

这解决了Mikrotik网站上的问题

如果你只是想从Mikrotik访问另一个网站的子网,你确实可以在Mikrotik上使用NAT规则。 从你的post我收集你试图build立一个网站到现场的VPN,虽然你想要访问这两个网站的子网。

要做到这一点,只需要在连接的两端都使用正确的路由表和防火墙。 尝试更改从10.8.0.1路由到192.168.2.0到10.8范围内您Mikrotik的地址的网关。 既然你的Mikrotik是这个子网的网关,而不是你自己的Linux服务器,它位于108.0.1。