Indice   FAQ  
Iscriviti  Login
Indice RouterOS RouterOS

Openvpn routeros firewall

Tutto su questo sistema operativo linux based - Configurazioni, dubbi, problematiche &....
Rispondi al messaggio

Openvpn routeros firewall

Messaggioda marko.gem » mer 27 giu 2018, 16:42

Buongiorno,

sto usando un serverino che gira openvpn per una connessione vpn, questo ha indirizzo ip 192.168.0.3 mentre uso la rete 192.168.2.0 per i client vpn.

questa è la configurazione openvpn:

Codice: Seleziona tutto
local 192.168.0.3
port 1194
proto udp
dev tun0
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh.pem
server 192.168.2.0 255.255.255.0
;ifconfig-pool-persist /etc/openvpn/ipp.txt
push "route 192.168.0.0 255.255.255.0"
push "route 192.168.5.0 255.255.255.0"
keepalive 30 120
tls-auth /etc/openvpn/keys/ta.key 0
tls-version-min 1.2
tls-cipher TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256:TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256
remote-cert-eku "TLS Web Client Authentication"
cipher AES-256-CBC
keysize 256
auth SHA256
comp-lzo
max-clients 10
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
log-append  /var/log/openvpn.log
verb 3
mute 20


questo è iptables:

Codice: Seleziona tutto
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 192.168.0.0/24 -o tun0 -j MASQUERADE
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i enp1s0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i enp1s0 -p udp -m state --state NEW --dport 1194 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i enp1s0 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.0.0/24,192.168.2.0/24 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -d 127.0.0.0/8 -i lo -j ACCEPT
-A INPUT -j DROP
-A FORWARD -i enp1s0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i tun0 -o enp1s0 -s 192.168.2.0/24 -d 192.168.0.0/24,192.168.5.0/24 -m state --state NEW -j ACCEPT
-A FORWARD -i tun0 -o enp1s0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i enp1s0 -o tun0 -s 192.168.0.0/24 -d 192.168.2.0/24 -m state --state NEW -j ACCEPT
-A FORWARD -j DROP
-A OUTPUT -j ACCEPT
COMMIT


sulla routerboard invece ho una rotta statica del tipo 192.168.2.0/24 raggiungibile tramite 192.168.0.3 (server vpn) e ho il dst nat per raggiungere il server dall'esterno tramite client openvpn

il problema che ho e che se abilito la regola di drop forward su connessioni invalide la vpn smette di funzionare e sinceramente non capisco il motivo, qualcosa mi sfugge.
Chiedo a voi indizzi per capire e magari risolvere questo probelma.
grazie anticipatamente per qualunque tipo di consiglio riceverò
marko.gem
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 20
Iscritto il: mer 14 mar 2018, 8:30
Uso routerOS dalla Versione: v4.x
Top

Rispondi al messaggio

Torna a RouterOS

Chi c’è in linea

Visitano il forum: Nessuno e 5 ospiti

Privacy Terms of use
Powered by phpBB © 2002, 2005, 2007 phpBB Group
MikroTik is a registered trademark of MikroTikls corporation
Hai bisogno di aiuto? Contattaci!