Mikrotik 多站点 OpenVPN。客户端不可见
Mikrotik multi site OpenVPN. Clients are not visible
我有两个地方有 Mirkotik 路由器,通过 OpenVPN 连接。我希望每个位置的所有客户都可以联系其他位置的客户。两个路由器都使用 RouteOS 6.44 的默认防火墙设置。
位置 1. 路由器 1:Mikrotik 型号:RB941-2nD。网络 10.36.1.0/24。地址:10.36.1.1,OpenVPN服务器(10.36.1.1)。
位置 2. 路由器 2:Mikrotik 型号:RB951G-2HnD。网络 10.84.1.0/24。地址:10.84.1.1,OpenVPN客户端(10.36.1.210)。
客户端 1 连接到位置 1 (LAN):10.36.1.50
客户端 2 连接到位置 2 (LAN):10.84.1.50
两台路由器之间建立VPN连接。
我可以从客户端 2 ping 路由器 1:10.36.1.1。
从路由器 1 我无法 ping 客户端 2。
我可以从客户端 1 ping 路由器 2:10.84.1.1。
我无法从路由器 2 ping 客户端 1。
我想了解是否缺少防火墙(过滤器)或接口(网桥)配置。
谢谢。
创建证书:
add name=ca-template common-name=example.com days-valid=36500 key-size=2048 key-usage=crl-sign,key-cert-sign
add name=server-template common-name=*.example.com days-valid=36500 key-size=2048 key-usage=digital-signature,key-encipherment,tls-server
add name=client-template common-name=client.example.com days-valid=36500 key-size=2048 key-usage=tls-client
签署证书:
/certificate
sign ca-template name=ca-certificate
sign server-template name=server-certificate ca=ca-certificate
sign client-template name=client-certificate ca=ca-certificate
导出证书:
/certificate
export-certificate ca-certificate export-passphrase=""
export-certificate client-certificate export-passphrase=12345678
为 VPN 选择地址池:
/ip
pool add name="vpn-pool" ranges=10.36.1.210-10.36.1.210
创建一个新的加密配置文件
/ppp
profile add name="vpn-profile" use-encryption=yes local-address=10.36.1.1 dns-server=10.36.1.1 remote-address=vpn-pool
secret add name=user profile=vpn-profile password=password
在服务器上启用 openvpn 接口:
/interface ovpn-server server
set default-profile=vpn-profile certificate=server-certificate require-client-certificate=yes auth=sha1 cipher=aes128,aes192,aes256 enabled=yes
路由:
/ip route add comment=OpenVPN disabled=no distance=1 dst-address=10.84.1.0/24 gateway=10.36.1.210 scope=30 target-scope=10
防火墙:
/ip firewall filter
add action=accept chain=input comment="OpenVPN" disabled=no dst-port=1194 protocol=tcp
我希望能够从客户端 1 ping 客户端 2。
解决方案是在桥上添加一个 "masquerade"。
我有两个地方有 Mirkotik 路由器,通过 OpenVPN 连接。我希望每个位置的所有客户都可以联系其他位置的客户。两个路由器都使用 RouteOS 6.44 的默认防火墙设置。
位置 1. 路由器 1:Mikrotik 型号:RB941-2nD。网络 10.36.1.0/24。地址:10.36.1.1,OpenVPN服务器(10.36.1.1)。 位置 2. 路由器 2:Mikrotik 型号:RB951G-2HnD。网络 10.84.1.0/24。地址:10.84.1.1,OpenVPN客户端(10.36.1.210)。 客户端 1 连接到位置 1 (LAN):10.36.1.50 客户端 2 连接到位置 2 (LAN):10.84.1.50
两台路由器之间建立VPN连接。
我可以从客户端 2 ping 路由器 1:10.36.1.1。 从路由器 1 我无法 ping 客户端 2。 我可以从客户端 1 ping 路由器 2:10.84.1.1。 我无法从路由器 2 ping 客户端 1。
我想了解是否缺少防火墙(过滤器)或接口(网桥)配置。
谢谢。
创建证书:
add name=ca-template common-name=example.com days-valid=36500 key-size=2048 key-usage=crl-sign,key-cert-sign
add name=server-template common-name=*.example.com days-valid=36500 key-size=2048 key-usage=digital-signature,key-encipherment,tls-server
add name=client-template common-name=client.example.com days-valid=36500 key-size=2048 key-usage=tls-client
签署证书:
/certificate
sign ca-template name=ca-certificate
sign server-template name=server-certificate ca=ca-certificate
sign client-template name=client-certificate ca=ca-certificate
导出证书:
/certificate
export-certificate ca-certificate export-passphrase=""
export-certificate client-certificate export-passphrase=12345678
为 VPN 选择地址池:
/ip
pool add name="vpn-pool" ranges=10.36.1.210-10.36.1.210
创建一个新的加密配置文件
/ppp
profile add name="vpn-profile" use-encryption=yes local-address=10.36.1.1 dns-server=10.36.1.1 remote-address=vpn-pool
secret add name=user profile=vpn-profile password=password
在服务器上启用 openvpn 接口:
/interface ovpn-server server
set default-profile=vpn-profile certificate=server-certificate require-client-certificate=yes auth=sha1 cipher=aes128,aes192,aes256 enabled=yes
路由:
/ip route add comment=OpenVPN disabled=no distance=1 dst-address=10.84.1.0/24 gateway=10.36.1.210 scope=30 target-scope=10
防火墙:
/ip firewall filter
add action=accept chain=input comment="OpenVPN" disabled=no dst-port=1194 protocol=tcp
我希望能够从客户端 1 ping 客户端 2。
解决方案是在桥上添加一个 "masquerade"。