+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

СЕРВЕР OPENVPN — КАК НАСТРОИТЬ ПЕРЕДАЧУ МАРШРУТА КЛИЕНТАМ

СЕРВЕР OPENVPN — КАК НАСТРОИТЬ ПЕРЕДАЧУ МАРШРУТА КЛИЕНТАМ, RouterOS

Pavel1973

Guest

12.01.2017 08:23:00

Привет! У меня RB2011 с прошивкой 6.8. Успешно поднял OPENVPN-сервер. Клиенты подключаются, но мне приходится указывать маршрут на стороне клиента в конфигурационном файле, так как нужно направлять через VPN только определённый трафик к отдельным машинам. Например, маршрут 192.168.2.0 255.255.255.0 10.10.11.1 1 работает.

Вопрос: есть ли возможность (на RB) “запушить” такой маршрут прямо клиентам? На самом деле, мне не хватает чего-то вроде конфигурационного файла OPENVPN-сервера, куда можно было бы вписать route add -net 162.168.2.0 netmask 255.255.255.0 gw 10.10.11.1, как это делается, например, на Linux.

Есть идеи, как это можно сделать? Спасибо!

anv

Guest

17.05.2018 10:03:00

Каждую новую версию я проверяю, нет ли в ней чего-то нового. Openvpn-сервер на Mikrotik работает действительно хорошо. У меня более 100 клиентов подключено через Openvpn без каких-либо проблем… кроме случаев, когда нужно добавить новый маршрут…

dablah Guest	#3 0 02.07.2017 23:05:00 У меня та же проблема и то же решение. Я не смог найти способ сделать это с сервера (Mikrotik). Уже известно, добавят ли эту опцию в следующих версиях RouterOS?

Sob

Guest

03.07.2017 00:58:00

Насколько я знаю, обещали пока только поддержку UDP. Но это должно означать все недостающие функции, потому что если появится UDP, а нам придется ещё десять лет создавать отдельные темы для проталкивания маршрутов или других функций… нет, ни за что, это просто неправильный подход, давайте так не делать.

onlineuser Guest	#5 0 24.11.2017 13:01:00 Есть ли новости по поводу прокидывания маршрута с сервера Mikrotik на клиента OpenVPN?

Anubioz

Guest

25.07.2018 03:24:00

Вы должны отправлять маршруты через BGP. Вот конфигурация для BIRD 1.6.4 BGP-сервера на Linux и клиента Mikrotik, который подключается через туннель. IP-адреса конечных точек туннеля: 192.168.111.1, имя адаптера: tun0 — Linux-сервер, 192.168.111.2, имя адаптера: ovpn-out1 — клиент Mikrotik.

Сначала установите BIRD-сервер, создайте таблицу маршрутизации 50 командой echo “50 mikrotik”>>/etc/iproute2/rt_table, затем добавьте такие настройки:

/etc/bird.conf:
log "/var/log/bird.log" all;

protocol kernel {
learn;
scan time 20;
export all;
kernel table 50;
}

protocol device {
scan time 180;
}

protocol static {
import none;
route 1.2.3.0/24 via "tun0";
route 192.168.10.0/24 via "tun0";
route 192.168.20.0/24 via "tun0";
route 10.10.0.0/16 via "tun0";
}

protocol bgp internal {
debug all;
description "My BGP uplink";
local as 65000;
neighbor 192.168.111.2 as 64496;
multihop;
hold time 360;
startup hold time 5;
connect retry time 20;

router id 192.168.235.1;
keepalive time 120;
connect delay time 5;
error wait time 5, 300;
next hop self;
path metric 1;
default bgp_med 0;
default bgp_local_pref 0;
source address 192.168.111.1;
export filter { print "exporting internal"; accept; };
}

Конфигурация BGP на Mikrotik:
/routing bgp instance
set default as=64496 client-to-client-reflection=no router-id=192.168.111.2

/routing bgp network
add network=192.168.111.0/24 synchronize=no

/routing bgp peer
add hold-time=6m keepalive-time=20s multihop=yes name=192.168.111.2 \
remote-address=192.168.111.1 remote-as=65000 ttl=default update-source=ovpn-out1

Эти настройки позволят Mikrotik получить маршруты 1.2.3.0/24, 192.168.10.0/24, 192.168.20.0/24, 10.10.0.0/16 и любые маршруты, существующие в таблице маршрутизации 50 на Linux-сервере (для добавления маршрута на Linux используйте, например, ip route add 192.168.200.0/24 dev tun0 table 50, а для удаления — ip route del 192.168.200.0/24 dev tun0 table 50).

kugla007

Guest

16.03.2020 15:45:00

У меня проблема: когда клиенты подключаются, маршрут не устанавливается. Если я захожу в терминал и ввожу netstat -nr, маршрута для сети через VPN нет. В файле client.ovpn я указал так:
route 192.168.178.0 255.255.255.0 10.11.12.1 1
Я также пробовал так:
route 192.168.178.0 255.255.255.0
На Windows эта команда работает — маршрут устанавливается, а на MacOS нет. Буду очень благодарен за помощь.

Вот мой client.ovpn:

client
dev tun
proto tcp
remote server_IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
auth SHA1
auth-user-pass
route 192.168.178.0 255.255.255.0 10.11.12.1 1
verb 3

<ca>
...
</ca>
<cert>
...
</cert>
<key>
...
</key>

Если добавить маршрут вручную в терминале, доступ к удалённой LAN есть:
sudo route -n add -net 192.168.178.0/24 10.11.12.1

mtzz29

Guest

22.03.2020 14:26:00

Как подключиться к OpenVPN в Windows 10

#server
[admin@Server_opvn] > /interface ovpn-server server print
enabled: yes
port: 59876
mode: ip
netmask: 24
mac-address: FF:6R:8G:E8:98:87
max-mtu: 1500
keepalive-timeout: 60
default-profile: default
certificate: ca-certificate
require-client-certificate: yes
auth: sha1
cipher: aes128

#client
client
dev tun
proto udp
remote ip domain.com 59876
resolv-retry infinite
keepalive 5 10
nobind
persist-key
persist-tun
verb 3
cipher AES-128-CBC
auth SHA1
auth-user-pass auth.cfg

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN ENCRYPTED PRIVATE KEY-----
-----END ENCRYPTED PRIVATE KEY-----

jeanpara

Guest

26.05.2020 21:26:00

Я не понимаю видение MikroTik. Они делают акцент на вариантах для Raspberry Pi (патент). Когда я слушаю технических специалистов, у меня в лаборатории или дома есть MikroTik. Я бы хотел слышать, что MikroTik внедряют в крупных компаниях. Но там не хватает функций, которые есть у конкурентов. Одна из важных функций — это отправка маршрутов клиенту VPN. В стиле OpenVPN. В таком случае я скорее выберу pfSense, который очень стабилен и прост в использовании, или SonicWall с VPN SSL, или Ubiquiti. Видим крупный CCR, но зачем ставить его в бизнес, если нужно модифицировать маршруты для 80 пользователей? Значит, я скажу себе, что поставим это в маленькую PME на 10 пользователей, так как управлять не слишком сложно. MikroTik плывёт по течению. Нужно создать специальную проектную команду для разработки, например, опций для хотспота или других необычных функций для роутеров — как включение тостера. Команда: создать опции для бизнеса, чтобы роутер был реальным инструментом. Зайти на рынок малых и средних предприятий и дальше — с 5 пользователями. Например, автоматическая отправка маршрутов, копирование конфигурации HA на резервный роутер. Упростить настройку для пользователей. Я знаю, что есть скрипты, но как только обновишь роутер или Raspberry Pi, приходится практически переделывать эти скрипты. Даже приходящая версия 7 меня не впечатляет. Мы уже в 2020-м. Жаль, что приоритеты выбиваются из общего контекста.

mutluit Guest	#10 0 27.05.2020 11:10:00 Альтернативный вариант — установить OpenVPN на сервере в локальной сети. Тогда его можно полностью настроить.

loloski

Guest

#11

06.04.2021 23:47:00

Просто вау, Mikrotik умеет делать кучу всего, я правда не верю, что настройка маршрутов — это базовая функция. Я не хочу запускать сервер или виртуальную машину только ради этого, зачем такое сопротивление внедрению этой функции?

qwertyhunder

Guest

#12

03.07.2021 06:00:00

Чёрт возьми. Разве команда разработчиков прошивки MikroTik настолько некомпетентна, что не может дать возможность добавить пользовательский конфиг OVPN-сервера или хотя бы просто добавить, чёрт возьми, опцию «push static route» для ovpn? Это определённо самая непрофессиональная вещь, которую я когда-либо видел от очень профессиональной компании.

t4thfavor

Guest

#13

09.03.2022 19:34:00

Ну, прошло уже несколько месяцев с тех пор, как здесь последний раз вспыхнули жаркие обсуждения, так что решил тоже вставить свои пять копеек. Мне тоже хотелось бы видеть эту функцию — кажется, она просто необходима для нормальной работы OpenVPN у большинства пользователей. Понимаю, что Wireguard — это сейчас модное решение, но для многих OpenVPN уже внедрён, и было бы здорово иметь возможность ставить устройства Mikrotik вместо выделенных VPN-боксов.

lfoerster

Guest

#14

15.03.2022 15:38:00

Сервер OpenVPN на MT не поддерживает автоматическую настройку маршрутов, поэтому их нужно либо задавать статически, либо использовать динамическую маршрутизацию с RIPv2 или OSPF. https://administrator.de/contentid/359367#comment-1349554 Было бы здорово иметь возможность ставить устройства Mikrotik, которые могли бы заменить специализированные VPN-шлюзы. Главный минус OVPN и WG в том, что они требуют сторонние VPN-клиенты. Это большая проблема и создает дополнительную нагрузку из-за поддержки и возможных багов. К тому же стороннее сетевое ПО почти никогда не интегрировано должным образом и страдает по производительности. Лучшее решение — всегда использовать встроенный в ОС VPN-клиент, который есть у всех операционных систем — Windows, Apple и всех смартфонов. В основном это L2TP, а настроить отлично работающий L2TP VPN-сервер для мобильных клиентов очень просто: https://administrator.de/content/detail.php?id=562927&token=111#comment-1440162 Или если нужны VPN-соединения между офисами через L2TP: https://administrator.de/contentid/1721997934#comment-1736463492 Это всегда намного лучше всех сторонних решений!

smufarhan

Guest

#15

24.08.2022 08:43:00

Всем привет! MikroTik предложил следующее решение. Нужно добавить следующие строки в конфигурационный файл ovpn:
pull route 10.x.x.x 255.255.255.0
Эти строки нужно добавить выше нескольких других строк. В разделе route вы можете указать любые сети, которые хотите подтягивать с роутера MikroTik на клиент.

networkf1

Guest

#16

07.12.2022 09:15:00

Привет, smufarhan, как ты прокидываешь маршрут с Mikrotik на клиента? На Mikrotik нет никакого конфигурационного файла, только серверная настройка, которая не позволяет делать много изменений... Было бы очень полезно, спасибо!

x0a Guest	#17 0 27.02.2018 08:29:00 Привет, только что зарегистрировался, чтобы спросить — есть какие-нибудь новости?

egord Guest	#18 0 03.05.2018 17:02:00 И мне тоже, пожалуйста!

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры