• Внутренняя сеть 10.0.0.0/24
• MikroTik hAP ac² 10.0.0.1
• VPN на CentOS, eth0 10.0.0.77, tun0 10.8.0.1
• VPN клиенты получают адреса из диапазона 10.8.0.0/24

Настройка OpenVPN и сертификатов в данной заметке не рассматривается. Только рабочие фрагменты конфигурационных файлов.

port 1194
proto udp
dev tun

server 10.8.0.0 255.255.255.0

push "route 10.8.0.0 255.255.255.0"
push "route 10.0.0.0 255.255.255.0"

client-to-client
persist-key
persist-tun

# Разрешить трафик иницированный из VPN в LAN
iptables -I FORWARD -i tun0 -o eth0 -s 10.8.0.0/24 -d 10.0.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
 
# Разрешаем трафик для уже установленных/инициированных хостом соединений
iptables -I FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

Port forward для UDP 1194

/ip firewall nat chain=dstnat action=dst-nat to-addresses=10.0.0.77 to-ports=1194 protocol=udp in-interface=ether1-wan dst-port=1194

Добавляем статический маршрут для направления любого трафика предназначенного для VPN на шлюз VPN

/ip route dst-address=10.8.0.0/24 gateway=10.0.0.77 gateway-status=10.0.0.77 reachable via ether2-master distance=1 scope=30 target-scope=10

EOM