====== OpenVPN сервер за Mikrotik ======

==== Схема сети ====

  * Внутренняя сеть 10.0.0.0/24
  * MikroTik hAP ac² 10.0.0.1
  * VPN на CentOS, eth0 10.0.0.77, tun0 10.8.0.1
  * VPN клиенты получают адреса из диапазона 10.8.0.0/24

{{:network:mikrotik:mikrotik_openvpn_inside_lan.png?nolink|}}

Настройка OpenVPN и сертификатов в данной заметке не рассматривается. Только рабочие фрагменты конфигурационных файлов.

==== OpenVPN конфиг ====

<code>
port 1194
proto udp
dev tun

server 10.8.0.0 255.255.255.0

push "route 10.8.0.0 255.255.255.0"
push "route 10.0.0.0 255.255.255.0"

client-to-client
persist-key
persist-tun
</code>

==== iptables ====

<code bash>
# Разрешить трафик иницированный из VPN в LAN
iptables -I FORWARD -i tun0 -o eth0 -s 10.8.0.0/24 -d 10.0.0.0/24 -m conntrack --ctstate NEW -j ACCEPT

# Разрешаем трафик для уже установленных/инициированных хостом соединений
iptables -I FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
</code>

==== Mikrotik ====

Port forward для UDP 1194

<code>
/ip firewall nat chain=dstnat action=dst-nat to-addresses=10.0.0.77 to-ports=1194 protocol=udp in-interface=ether1-wan dst-port=1194
</code>

Добавляем статический маршрут для направления любого трафика предназначенного для VPN на шлюз VPN

<code>
/ip route dst-address=10.8.0.0/24 gateway=10.0.0.77 gateway-status=10.0.0.77 reachable via ether2-master distance=1 scope=30 target-scope=10
</code>

EOM

{{tag>mikrotik vpn openvpn сети}}