nightman67
Goto Top

Mikrotik RB750GL - OpenVPN -

Hallo zusammen,
ich habe ein kleines Problem mit dem einrichten oder der Konfiguration von OpenVpn.
Meine Konfiguration des Mikrotik RB750GL sieht wie folgt aus.
Ich möchte von meinem Androidgerät gerne mit OpenVpn auf das Interface 3 verbinden.
Interface 1 – Internet (Kabelmodem)
Interface 2 – Router Home (Homenetzwerk)
Interface 3 – Router Privat (Privatnetzwerk)
Ich habe die Zertifikate erstellt. OpenVpn entsprechend Anleitung welch man so im Internet findet konfiguriert. User erstellt usw..
Es sollte so möglich sein eine OpenVpn verbindund von unterwegs herzustellen.
Leider funktioniert das nicht.
Wenn ich mich im Homenetz befinde kann ich eine OpenVpn-Verbindung herstellen.
Somit sollte OpenVpn selber ja schon mal funktionieren.
Warum kann ich aber von aussen keine Openverbindung herstellen.
Meine Infos sind sicher nicht komplett.

- Was fehlt damit ich von aussen per OpenVpn eine Verbindung herstellen kann.
- Was muss ich konfigurieren damit ich per OpenVpn zum Interface 3 komme (Genügt ein NAT eintrag)

Wenn ich weiter Infos liefern soll, mache ich das gerne.
Für Hilfe oder Tips wäre ich Dankbar.

Danke

Content-ID: 340386

Url: https://administrator.de/forum/mikrotik-rb750gl-openvpn-340386.html

Ausgedruckt am: 25.12.2024 um 07:12 Uhr

133417
Lösung 133417 14.06.2017 aktualisiert um 16:33:46 Uhr
Goto Top
Moin
Meine Infos sind sicher nicht komplett.
Nee leider nicht. Keinerlei Infos zum Netz und seinem Aufbau.
- Was fehlt damit ich von aussen per OpenVpn eine Verbindung herstellen kann.
Port-Forwarding wenn das Teil hinter einem anderen Router sitzt (Router-Kaskade) und wenn die Firewall-Freigabe für den OpenVPN-Port.
- Was muss ich konfigurieren damit ich per OpenVpn zum Interface 3 komme (Genügt ein NAT eintrag)
Wenn keine Firewall regeln das verhindern kommst du automatisch auf das Netz, vorausgesetzt die Route ist in die Client-Config eingetragen oder du hast das Default-GW in der Client-Config auf den OpenVPN-Tunnel gesetzt. Achtung auf den jeweils beteiligten LAN-Interface sollte ARP auf "proxy arp" stehen.

Alles simpler Standard.
Gruß
nightman67
nightman67 19.06.2017 um 21:41:16 Uhr
Goto Top
Ich versuche mal die nötigen Angaben zu liefern.
"proxy arp" auf Interface 3 habe ich gesetzt.

Leitet eine VPN Verbinmdung Interface2 - Funktioniert winwandfrei. Auf 192.168.111.25 läuft ein eigener VPN-Server
Dieser möchtem ich abbauen und direkt OpenVPN auf dem Mirkrotik betreiben.

chain=dstnat action=dst-nat to-addresses=192.168.111.25 to-ports=1194 protocol=udp in-interface=ether1-gateway log=no log-prefix=""

Das wäre dann die weiterleitun für OpenVPN auf dem Mirkrotik

chain=dstnat action=dst-nat to-addresses=192.168.170.1 to-ports=1195 protocol=udp in-interface=ether1-gateway log=no log-prefix=""


ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
    1. DST-ADDRESS PREF-SRC GATEWAY DISTANCE
    0 ADS 0.0.0.0/0 158.181.125.1 1
    1 ADC Vom Provider Vom Provider Kabelmodem 0
    2 ADC 192.168.170.0/24 192.168.170.1 Router Client 0
    3 ADC 192.168.111.0/24 192.168.111.1 Router Home 0


    /ip firewall filter> print
    Flags: X - disabled, I - invalid, D - dynamic
    0 ;;; OpenVPN
    chain=forward action=log protocol=tcp src-port=1195 log=no log-prefix=""

    1 ;;; default configuration
    chain=input protocol=icmp

    2 ;;; default configuration
    chain=input action=accept connection-state=established log=no log-prefix=""

    3 ;;; default configuration
    chain=input action=accept connection-state=related log=no log-prefix=""

    4 ;;; default configuration
    chain=input action=drop in-interface=Kabelmodem log=no log-prefix=""

    5 ;;; default configuration
    chain=forward action=accept connection-state=established log=no log-prefix=""

    6 ;;; default configuration
    chain=forward action=accept connection-state=related log=no log-prefix=""

    7 ;;; default configuration
    chain=forward action=drop connection-state=invalid log=no log-prefix=""

    8 chain=forward action=drop src-address-list=local_networks out-interface=!Kabelmodem


    Das sollto doch so OK sein. Oder hebe ich bereits hier ein fehler drinn.
133417
133417 20.06.2017 aktualisiert um 14:10:37 Uhr
Goto Top
So ein Quark, du brauchst doch kein DST NAT wenn der OpenVPN Server auf dem Mikrotik selbst betreibst, das sagt einem doch schon der gesunde Netzwerkerverstand! Im INPUT den OpenVPN Port aufmachen, fertig.