Jak routrovat vše přez VPN server který je na MikroTiku

[Sentello]

Potřeboval bych pomoci s nastavením VPN na Mikrotiku který mám doma, jedná se konkrétně o PPTP a OpenVPN.
Takže jsem si nastavil PPTP a OVPN servery v Mikrotiku, připojím se v pohodě, dostanu se k sítí doma, mohu například otevřít domácí NAS atd... ale rád bych všechen traffic tahal přes to VPN.

Př.:když se připojím z práce k Mikrotiku pomocí tunelu a otevřu si napr. mojeip.cz tak tam vidím IP adresu kterou máme v práci. To je špatně - chci používat svůj mikrotik jako bránu pro všechen traffic. Stejně tak jako fungují placené VPN servery.

Už trápím dva dny a prostě nevím co mám nastavit.

winbox nastavení:
http://www.imagehosting.cz/images/atft.png

Nastavení klienta (windows openvpn)

Kód: Vybrat vše

proto tcp-client

remote 121.31.11.17 1194 # Remote OpenVPN Servername or IP address
dev tap

nobind
persist-key

tls-client
ca ca.crt # Root certificate in the same directory as this configuration file.
auth-user-pass auth.cfg #auth.cfg containing my user and password openvpn

ping 10
verb 3

cipher AES-256-CBC
auth SHA1
pull

auth-nocache

resolv-retry infinite


route-up "route add 192.168.1.0 mask 255.255.255.0 121.31.11.17"


Nevím co přesně bych měl nastavit, statická routa je nastavená- vše co se doma chce připojit k síti používá 192.168.1.1 jako GW
Poradí někdo?

[hafieror]

Linuxová konfigurace na straně serveru zná parametr

Kód: Vybrat vše

 push "redirect-gateway"

ale tady nic co by tomu odpovídalo nevidím.

[Sentello]

Z dokumentace OpenVPN jsem se něco takového taky dočetl. Ale tohle nastavit v Mikrotiku nelze...

[aliney]

Pokud to chapu dobre, tak presne na to jsem taky neprisel.
Teoreticky by to melo nejak jit, ale zadny ze zkousenych postupu mi nepomohl. V tomto pripade by Te mohl zajimat Split Tunneling.

Takze jsem si rozjel VPN klienta na Mikrotiku (ktery je ve vnitrni siti jako kazdy jiny pc DHCP-Client) proti Mikrotik serveru. Pocitacum prirazuji adresy vnitrni site tak jako normalne dostanou od DHCP, ale gateway prepisu na ten Mikrotik klient, kde pak preroutingem vsechno co neni 10.0.0.0/8 (firemni traffic) jde do VPN tunelu jinak na klasickou firemni GW.
Preci jen, nez presvedcovat win at dela co chces, to naklikam za par minut do MK vselijake pravidla a muzes s tim kouzlit co chces.
Vysledek je takovy, ze v podstate kdokoliv si na svem PC zmeni jen GW na mikrotik, ktery je viditelny v cele firme a muze frcet po VPN. (pokud mu to muj FW povoli ovsem )

[Sentello]

A v práci máš OVPN? nebo se jedná o jiné VPN?

[aliney]

ovpn

[Sentello]

Mohl bys poslat z konzole nastavení nebo z winboxu? Nějak nevím jak to udělat, u mě MK je jak DHCP server tak GW -> takže by stačilo nějak naroubovat to co jsi vymyslel i u nás doma a možná to bude fungovat.

[aliney]

myslis konkretne nastaveni ceho?

[Sentello]

rád bych viděl pravidla ve FW

[aliney]

Zajimat by Te mohlo asi tohle:
prvni GW je VPN server, druha je normalni firemni a pak jen delim preroutingem co ma kam jit...

Kód: Vybrat vše

/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=172.20.0.1 routing-mark=tunnel scope=30 target-scope=10
add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=10.10.10.1 scope=30 target-scope=10

/ip firewall mangle
add action=mark-connection chain=prerouting disabled=no dst-address=10.0.0.0/8 new-connection-mark=local-traffic passthrough=yes src-address=10.0.0.0/8
add action=mark-routing chain=prerouting disabled=no dst-address=10.0.0.0/8 new-routing-mark=main passthrough=no src-address=10.0.0.0/8
add action=mark-routing chain=prerouting comment="OVPN address list" disabled=no dst-address-list=OVPN new-routing-mark=tunnel passthrough=no
add action=mark-routing chain=prerouting comment="PORT FORWARD" disabled=yes dst-port=8904 new-routing-mark=tunnel passthrough=no protocol=tcp

V address-listu 'OVPN address list' mam cilove adresy, ktere chci aby sly tunelem, jinak nechavam provoz bezet po firemni siti, jen to, co potrebuji jde tunelem, tedy 192.168.0.0/16 a pak nejake verejne, sem tam nejaky ten port bez ohledu na IP (treba 8291, protoze z nejakeho duvodu neni na firemni siti povoleny )...

pokud chci docasne uplne vsechno poslat do tunelu, tak si aktivuji pravidlo

Kód: Vybrat vše

add action=mark-routing chain=prerouting comment="ALL to vpn" disabled=yes new-routing-mark=tunnel passthrough=no src-address=10.10.10.130

[Sentello]

Děkuji, ale tohle mě nemůže fungovat protože mám jen jeden Mikrotik a ten je jak GW do internetu tak OVPVPN server

[aliney]

njn, tak to si holt bude treba nejdriv vytvorit tu druhou GW nekde

[Sentello]

Mohl bych jako druhou GW použít ADSL modem?

[Daxxim]

Mohl bych jako druhou GW použít ADSL modem?

urcite to pouzit lze, co to mas doma za RB (=dost podstatna informace)?

nekde jsem cetl, ze nelze pouzit 1 GW in/out, pres tu druhou by to jit melo...

[Sentello]

mám RB433AH, a to že OVPN neumí dělat GW jsem taky někde četl ale teď nemohu najít odkaz