Туннель gre over ipsec linux (centos ubuntu) и hap ac2 mikrotik client

@dj-12l · Регистрация: 22.02.2016

Студворк — интернет-сервис помощи студентам

Добрый день!
снова возвращаюсь к вопросу, создания канала, чтобы выходить через vpn сервер в интернет.
сейчас настроен openvpn, подключалось работало, но скорость отдачи была в 3-6 mbps, когда у провайдера скорость 90 mbps на отдачу.
Может быть, что openvpn не справляется с шифрованием, но скорость маленькая.
Вопрос в том, как настроить работающий туннель между linux и mikrotik.
Есть vps, 2 белых ip адреса, пробовал поднимать туннель через интерфейсы, но почему то не завелось. подскажите пожалуйста, может есть 100% работающая инструкция..

@insect_87 · 15.12.2019, 14:30

Ну попробуйте еще ipsec без gre

@dj-12l · 15.12.2019, 14:35 **[ТС]**

Сообщение от insect_87

Ну попробуйте еще ipsec без gre

Почему может быть так, что при подключении через openvpn скорость на отдачу 0?

нат должен быть же на весь трафик?

@insect_87 · 15.12.2019, 15:34

В смысле 0?
И о каком нате именно идет речь?

@dj-12l · 15.12.2019, 15:49 **[ТС]**

Сообщение от insect_87

И о каком нате именно идет речь?

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
/interface bridge
add admin-mac=74:4D:48:E9:4C:ED auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-XXXX disabled=no distance=indoors frequency=auto mode=\
    ap-bridge ssid=wifi wireless-protocol=802.11
/interface ovpn-client
add certificate=cert.crt_0 cipher=aes256 connect-to=93.88.47.226 mac-address=\
    02:F6:29:62:09:46 max-mtu=4500 name=ovpn-out1 port=4413 user=openvpn
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk comment=!wifi! \
    eap-methods="" management-protection=allowed mode=dynamic-keys \
    supplicant-identity=MikroTik wpa2-pre-shared-key=Secret!wifi!
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    country=russia disabled=no distance=indoors frequency=auto mode=ap-bridge \
    security-profile=temp ssid=wifi wireless-protocol=802.11
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=\
    192.168.88.0
add address=92.118.80.2/24 interface=ether1 network=92.118.80.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=193.161.88.88,46.18.48.48
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall address-list
add address=192.168.0.0/16 list=localnet
add address=10.0.0.0/8 list=localnet
add address=172.16.0.0/12 list=localnet
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related disabled=yes
add action=accept chain=forward out-interface=ovpn-out1
add action=accept chain=forward in-interface=ovpn-out1
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=!localnet \
    new-routing-mark=traffic_for_VPN passthrough=yes src-address=\
    192.168.88.0/24
/ip firewall nat
add action=masquerade chain=srcnat dst-address-list=!localnet out-interface=\
    ovpn-out1
add action=masquerade chain=srcnat comment=2test disabled=yes out-interface=\
    ovpn-out1
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=accept chain=srcnat disabled=yes dst-address=192.168.88.0/24 \
    src-address=192.168.88.0/24
/ip route
add distance=1 gateway=10.8.0.5 routing-mark=traffic_for_VPN
add distance=1 gateway=92.118.80.1
add distance=1 dst-address=195.45.131.111/32 gateway=10.8.0.5
/system clock
set time-zone-name=Europe/Moscow
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

сейчас такие настройки

@insect_87 · 15.12.2019, 16:24

У вас клиеты микротика должны ходить в инет через ubuntu/cent os?
Или клиенты ubuntu/cent os должны ходить через микротик?

@dj-12l · 15.12.2019, 16:28 **[ТС]**

Сообщение от insect_87

У вас клиеты микротика должны ходить в инет через ubuntu/cent os?

все устройства из сети mikrotik Должны ходить в сеть через centos/ubuntu.
сейчас стоит cent потому что было проще поднять там Openvpn, но в основном все инструкции на ubuntu.

@insect_87 · 15.12.2019, 16:31

И так, клиенты микротика должны ходить в инет через ubuntu/cent os.
Натить на туннельный интерфейс вообще не нужно было в любом случае.
Нат должен быть один - на ubuntu/cent os, через него все будут ходить в инет, и нат этот должен быть настроен на внешний интерфейс wan.
Хоть у вас туннель будет ovpn, хоть ipsec, хоть gre over ipsec. Разницы нет.

@dj-12l · 15.12.2019, 16:40 **[ТС]**

Сообщение от insect_87

Натить на туннельный интерфейс вообще не нужно было в любом случае.

если отключал, то доступ сразу теряется. нужно ведь чтобы внутри сети друг друга видели устройства.
может скорость снижается из-за маркировки, но я по нагрузке смотрел не нагружается тик при замере скорости.
что требуется сейчас?

@insect_87 · 15.12.2019, 16:56

Определитесь сначала с туннелем: ipsec в туннельном режиме/ gre over ipsec в транспортном режиме/ ovpn
ЗЫ: какой бы не был туннель, маркировка маршрутов и nat на микротике не нужны.

@dj-12l · 15.12.2019, 17:07 **[ТС]**

Сообщение от insect_87

Определитесь сначала с туннелем: ipsec в туннельном режиме/ gre over ipsec в транспортном режиме/ ovpn

проще всего вроде как gre over ipsec, но заведется ли?
в прошлый раз почему то не работало.

сейчас меня волнует или почему низкая скорость у Openvpn - может стоит убрать nat и пустить весь трафик в туннель, но тогда пропадёт доступ... интернет отвалится.

без маркировки, трафик будет уходить весь, даже локальный. А без ната не работает..

@insect_87 · 15.12.2019, 17:36

Лучше ipsec tunnel

сейчас меня волнует или почему низкая скорость у Openvpn - может стоит убрать nat и пустить весь трафик в туннель, но тогда пропадёт доступ... интернет отвалится.

Если вы используете ovpn туннель, вам на микротике два маршрута нужны:
1. До белого адреса ubuntu/cent os через шлюз провайдера и до других белых адресов, с которых управлять микротиком будете.
2. Маршрут по умолчанию (дефолтный) в туннель
Всё.
Никаких натов.
На убунту/ cent os
1. Маршрут по умолчанию (дефолтный) через шлюз провайдера
2. Маршрут до сети за микротиком через туннель
3. SNAT на внешний интерфейс для локальных сетей за микротиком и ubuntu/ cent os

@dj-12l · 15.12.2019, 17:39 **[ТС]**

Сообщение от insect_87

3. SNAT на внешний интерфейс для локальных сетей за микротиком и ubuntu/ cent os

по командам подскажите?
что если отключится убунту (openvpn)?

может ли скорость так падать из-за ната?

для ната на убунте вроде как:

Code
1
2
ip route add 192.168.88.0/24 via 10.8.0.5
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.88.0/24 -j MASQUERADE

@insect_87 · 15.12.2019, 17:49

Если отключится ubuntu, тогда другая логика. Два дефолтных маршрута должно быть.

Отключите nat на микротике на туннельный интерфейс.

может ли скорость так падать из-за ната?

Думаю нет.

На ubuntu все нормально

@dj-12l · 15.12.2019, 18:57 **[ТС]**

Сообщение от insect_87

Отключите nat на микротике на туннельный интерфейс.

отключил, сделал лишь разрешающий на выходящий интерфейс.
вроде интернет работает т.к. удаленно подключиться могу, но страницы не грузятся, пинги не идут.

Если делать просто трассеровку, то идёт нормально, если указать src адрес 192.168.88.240 например, то timeout уже

@insect_87 · 15.12.2019, 19:23

1. У вас сейчас на линуксе это -

Code
1
2
ip route add 192.168.88.0/24 via 10.8.0.5
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.88.0/24 -j MASQUERADE

так?

Больше нет никаких snat, masquerade на туннельный интерфейс?
2. Выложите, что сейчас на микротике

@dj-12l · 15.12.2019, 19:30 **[ТС]**

Сообщение от insect_87

2. Выложите, что сейчас на микротике

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
/interface ovpn-client
add certificate=cert.crt_0 cipher=aes256 connect-to=93.88.47.226 mac-address=\
    02:F6:29:62:09:46 max-mtu=1430 name=ovpn-out1 port=4413 user=openvpn
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
 
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=\
    192.168.88.0
add address=92.118.80.2/24 interface=ether1 network=92.118.80.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=193.161.88.88,46.18.48.48
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall address-list
add address=192.168.0.0/16 list=localnet
add address=10.0.0.0/8 list=localnet
add address=172.16.0.0/12 list=localnet
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input src-address=93.88.47.226
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related disabled=yes
add action=accept chain=forward out-interface=ovpn-out1
add action=accept chain=forward in-interface=ovpn-out1
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=mark-routing chain=prerouting disabled=yes dst-address-list=\
    !localnet new-routing-mark=traffic_for_VPN passthrough=yes src-address=\
    192.168.88.0/24
/ip firewall nat
add action=masquerade chain=srcnat disabled=yes dst-address-list=!localnet \
    out-interface=ovpn-out1
add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes \
    ipsec-policy=out,none out-interface-list=WAN
add action=accept chain=srcnat dst-address=192.168.88.0/24 src-address=\
    192.168.88.0/24
add action=accept chain=srcnat out-interface=ovpn-out1
/ip route
add disabled=yes distance=1 gateway=10.8.0.5 routing-mark=traffic_for_VPN
add check-gateway=ping distance=1 gateway=10.8.0.1
add distance=2 gateway=92.118.80.1
add distance=1 dst-address=92.118.80.0/24 gateway=92.188.80.1 pref-src=\
    92.118.80.2
add comment="for ip vpn" distance=1 dst-address=93.88.74.112/32 gateway=\
    92.118.80.1
add distance=1 dst-address=195.123.221.222/32 gateway=10.8.0.5
/system clock
set time-zone-name=Europe/Moscow
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

@insect_87 · 15.12.2019, 19:58

Столько лишнего.
У вас белый адрес линукса какой?

Сейчас если у вас туннель поднялся, то все ок, клиенты из 88 подсети будут ходить в инет через сервер с linux.

Трасса в инет у них будет такой:
192.168.88.1
10.8.0.1
Шлюз провайдера на ubuntu/cent os

@dj-12l · 15.12.2019, 19:59 **[ТС]**

Сообщение от insect_87

У вас белый адрес линукса какой?

93.88.47.226

@insect_87 · 15.12.2019, 22:32

93.88.47.226

Маршрут до этого адреса через шлюз провайдера где в конфиге микротика? Или вы его изменили просто?
Зайдите на пк в 88 подсети, посмотрите трассу в инет

Code
1
2
3
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes \
    ipsec-policy=out,none out-interface-list=WAN

Это правило включите, чтобы 88я подсеть ходила в инет, когда туннель порвется.
Остальные в цепи snat - лишние

Новые блоги и статьи Все статьи Все блоги /
Как писать чистый, тестируемый и качественный код на Python py-thonny 12.07.2025 Помню свой первый проект на Python. Работал тогда быстро, грязно, лишь бы работало. Код был похож на запутанный клубок - переменные по одной букве, функции на 200 строк, комментарии отсутствовали как. . .	Blazor и контроллер сервопривода IoT Meadow Maple Wired 11.07.2025 Я решил разобраться, как можно соединить современные веб-технологии с миром "железа". Интересная комбинация получилась из Blazor в качестве веб-интерфейса и микроконтроллера Meadow с его веб-сервером. . .	Генерация OpenQASM из кода Q# EggHead 10.07.2025 Летом 2024-го я начал эксперименты с библиотекой Q# Bridge, и знаете что? Она оказалась просто находкой для тех, кто работает на стыке разных квантовых экосистем. Основная фишка этой библиотеки -. . .	Изучаем новый шаблон ИИ-чата .NET AI Chat Web App stackOverflow 10.07.2025 В . NET появилось интересное обновление - новый шаблон ИИ-чата под названием . NET AI Chat Web App. Когда я впервые наткнулся на анонс этого шаблона, то сразу понял, что Microsoft наконец-то. . .	Результаты исследования от команды ARP (июль 2025 г.) Programma_Boinc 10.07.2025 Результаты исследования от команды ARP (июль 2025 г. ) Африканский проект по дождям (ARP) World Community Grid снова запущен! Мы рады поделиться обновленной информацией о нашем прогрессе с осени. . .
Angular vs Svelte - что лучше? Reangularity 09.07.2025 Сегодня рынок разделился на несколько четких категорий: тяжеловесы корпоративного уровня (Angular), гибкие универсалы (React), прогрессивные решения (Vue) и новая волна компилируемых фреймворков. . .	Code First и Database First в Entity Framework UnmanagedCoder 09.07.2025 Entity Framework дает нам свободу выбора, предлагая как Code First, так и Database First подходы. Но эта свобода порождает вечный вопрос — какой подход выбрать? Entity Framework — это. . .	Как использовать Bluetooth-модуль HC-05 с Arduino Wired 08.07.2025 Bluetooth - это технология, созданная чтобы заменить кабельные соединения. Обычно ее используют для связи небольших устройств: мобильных телефонов, ноутбуков, наушников и т. д. Работает она на частоте. . .	Руководство по структурам данных Python AI_Generated 08.07.2025 Я отчетливо помню свои первые серьезные проекты на Python - я писал код, он работал, заказчики были относительно довольны. Но однажды мой наставник, взглянув на мою реализацию поиска по огромному. . .	Тестирование энергоэффективности и скорости вычислений видеокарт в BOINC проектах Programma_Boinc 08.07.2025 Тестирование энергоэффективности и скорости вычислений видеокарт в BOINC проектах Опубликовано: 07. 07. 2025 Рубрика: Uncategorized Автор: AlexA Статья размещается на сайте с разрешения. . .

@dj-12l 85 / 1 / 0 Регистрация: 22.02.2016 Сообщений: 103

	Туннель gre over ipsec linux (centos ubuntu) и hap ac2 mikrotik client 15.12.2019, 13:19. Показов 6309. Ответов 19 Метки mikrotik (Все метки) Добрый день! снова возвращаюсь к вопросу, создания канала, чтобы выходить через vpn сервер в интернет. сейчас настроен openvpn, подключалось работало, но скорость отдачи была в 3-6 mbps, когда у провайдера скорость 90 mbps на отдачу. Может быть, что openvpn не справляется с шифрованием, но скорость маленькая. Вопрос в том, как настроить работающий туннель между linux и mikrotik. Есть vps, 2 белых ip адреса, пробовал поднимать туннель через интерфейсы, но почему то не завелось. подскажите пожалуйста, может есть 100% работающая инструкция.. 0

@insect_87 11437 / 7006 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	15.12.2019, 14:30
	Ну попробуйте еще ipsec без gre 0

@insect_87 11437 / 7006 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	15.12.2019, 15:34
	В смысле 0? И о каком нате именно идет речь? 0

@insect_87 11437 / 7006 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	15.12.2019, 16:24
	У вас клиеты микротика должны ходить в инет через ubuntu/cent os? Или клиенты ubuntu/cent os должны ходить через микротик? 0

@insect_87 11437 / 7006 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	15.12.2019, 16:31
	И так, клиенты микротика должны ходить в инет через ubuntu/cent os. Натить на туннельный интерфейс вообще не нужно было в любом случае. Нат должен быть один - на ubuntu/cent os, через него все будут ходить в инет, и нат этот должен быть настроен на внешний интерфейс wan. Хоть у вас туннель будет ovpn, хоть ipsec, хоть gre over ipsec. Разницы нет. 0

@insect_87 11437 / 7006 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	15.12.2019, 16:56
	Определитесь сначала с туннелем: ipsec в туннельном режиме/ gre over ipsec в транспортном режиме/ ovpn ЗЫ: какой бы не был туннель, маркировка маршрутов и nat на микротике не нужны. 0

@insect_87 11437 / 7006 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	15.12.2019, 19:58
	Столько лишнего. У вас белый адрес линукса какой? Сейчас если у вас туннель поднялся, то все ок, клиенты из 88 подсети будут ходить в инет через сервер с linux. Трасса в инет у них будет такой: 192.168.88.1 10.8.0.1 Шлюз провайдера на ubuntu/cent os 0