Добрый день. Второй день мучаюсь с проблемой. Настроил VPN сервер на микротике, клиенты подключаются с клиентов пингуется сам роутер (10.3.1.1), но клиенты не имеют доступа друг к другу (ip клиента 10.3.1.11 и 10.3.1.201, сеть 10.3.0.0/16)

Конфиг клиента openvpn:

proto tcp-client
# в этой строчке мы указываем адрес в интернете нашего микротика
remote 192.168.1.210
dev tap
nobind
persist-key
tls-client
#указываем имена публичного CA сертификата
ca ca.crt
# публичного сертификата клиента
cert client.crt
# и его закрытый ключ
key  client.key
#каждые 10 секунд проверять туннель, если нет ответа 120 секунд, переподключаться
keepalive 10 120
verb 3
cipher AES-256-CBC
auth SHA1
pull
#проверка сертификата сервера
#https://openvpn.net/index.php/open-source/documentation/howto.html#mitm
remote-cert-tls server
# эта строка задаёт файл с логином-паролем которые мы прописывали в PPP-Secrets на микротике
auth-user-pass auth.cfg
# в этой части мы задаём настройки сетей которые находятся за микротиком,
# в моём случае 192.168.1.0 с маской 255.255.255.0 это сеть,
# а 172.21.108.1 это адрес микротика который мы указывали в PPP профиле
route-method exe
route-delay 2
route 10.3.0.0 255.255.0.0 10.3.1.1

На роутере в фаерволе открыт порт 1194 (ну собственно иначе не было бы подключения)
http://i.piccy.info/i9/d443608c2d9346dd04e5c47ba6db1012/1544173733/82378/1287198/Snymok.jpg

И маршруты на роутере:
http://i.piccy.info/i9/2c13b47a375350d57276246b38b08628/1544173803/39796/1287198/Snymok1.jpg

Маршруты с клиента:
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.32     25
         10.3.0.0      255.255.0.0         On-link       10.3.10.254    291
         10.3.0.0      255.255.0.0         10.3.1.1      10.3.10.254    291
      10.3.10.254  255.255.255.255         On-link       10.3.10.254    291
     10.3.255.255  255.255.255.255         On-link       10.3.10.254    291
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
      192.168.1.0    255.255.255.0         On-link      192.168.1.32    281
     192.168.1.32  255.255.255.255         On-link      192.168.1.32    281
    192.168.1.255  255.255.255.255         On-link      192.168.1.32    281
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link       10.3.10.254    291
        224.0.0.0        240.0.0.0         On-link      192.168.1.32    281
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link       10.3.10.254    291
  255.255.255.255  255.255.255.255         On-link      192.168.1.32    281
===========================================================================
Постоянные маршруты:
  Отсутствует

и ipconfig  с клиента
Адаптер Ethernet Ethernet 2:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : TAP-Windows Adapter V9
   Физический адрес. . . . . . . . . : 00-FF-95-CE-6E-E2
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   Локальный IPv6-адрес канала . . . : fe80::a089:fd92:b93f:f03e%24(Основной)
   IPv4-адрес. . . . . . . . . . . . : 10.3.10.254(Основной)
   Маска подсети . . . . . . . . . . : 255.255.0.0
   Аренда получена. . . . . . . . . . : 7 декабря 2018 г. 11:58:20
   Срок аренды истекает. . . . . . . . . . : 7 декабря 2019 г. 11:58:20
   Основной шлюз. . . . . . . . . :
   DHCP-сервер. . . . . . . . . . . : 10.3.0.0
   IAID DHCPv6 . . . . . . . . . . . : 402718613
   DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-23-84-30-06-B0-6E-BF-33-13-F6
   DNS-серверы. . . . . . . . . . . : fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1
   NetBios через TCP/IP. . . . . . . . : Отключен

Чего ему не хватает?

ДОбавить правило в файерволл. Forward между клиентами впн

>Чего ему не хватает?

Двух камней

(2) ну не серьезноже
(1) сделал два forward между двумя интерфейсами (ovpn-user1 и ovpn-user2) с одного на другой и обратно - не работает :(

(3) Для теста, сначала разреши первым правилом форвард из подсети впн или разреши любой форвард. Что бы понять, в фаерволе дело или нет. Я думаю что в нем.

http://i.piccy.info/i9/537d9be8f581b37e7c7a3297288f55b3/1544178165/90331/1287198/Snymokashchktsf.jpg

но пинг по прежнему только на сервер и с сервера

(0)Для начала отключи все правила FW и проверь..

Если поможет, то проблема в FW, если не поможет.. то смотри маршрутизацию для начала..

(6) не помогло.

(7) Тогда создай такую же тему на кулинарном форуме.

(7)Если с выключенным FW не помогло, смотри настройки OVPN ещё..

mode ethernet?

Надо push'ить маршруты

(9) он в подсетях запутался, бесполезно гадать.
Его носом надо тыкать в конкрентные места при этом говорить "Ну что тут не понятного, видишь они разные"

(9) да ethernet

(11) да одна подсеть 10.3.0.0
с обоих компов пингуется 10.3.1.1, с сервера пингутся оба компа, но не пингуются между собой

в профиле vpn сервера локальный адрес 10.3.1.1, dhcp пул тоже 10.3.1.200-10.3.1.254 (но в данном случае адреса присвоены)

Да сервер раздает еще интернет и выдает адреса в подсети 10.1.0.0 но ведь это другая история, я не претендую на доступ из внешней сети, мне хотя бы доступ внутри и все довольны.

(10) Да видимо вы были правы.

маршруты друг на друга напрямую решили проблему

всем спасибо, буду писать маршруты в конфиге и бует счастье

route add 10.3.0.0 mask 255.255.0.0 10.3.1.1 вот хз почему вот это не срабатывает, нужно именно на конкретный адрес