Cómo hacer que funcione la configuración del cliente OpenVPN (Mikrotik RouterOS) servidor OpenVPN (Debian/Linux)

Tengo algunos problemas para hacer que MT funcione con el servidor OpenVPN (Debian). Puedo establecer una conexión exitosa con el servidor OVPN, pero el tráfico no se enruta a través del servidor OVPN. Aquí está mi configuración.

Configuración -https://i.stack.imgur.com/AAH9Y.jpg

Configuración del servidor OpenVPN (Debian/Linux)

# gato /etc/openvpn/server.conf
locales 95.2.171.3
puerto 1194
protocolo tcp
desarrollador tun

ca ca.crt
servidor de certificados.crt
clave servidor.clave
dh dh.pem

servidor 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

cliente-config-dir ccd
ruta 192.168.81.0/24 255.255.255.0

mantener vivo 10 120
tun-mtu 1500
mssfix 1450

cifrado AES-256-CBC
autenticación sha1

clave persistente
persistir-tun

estado /var/log/openvpn-status.log
agregar registro /var/log/openvpn.log

verbo 5
crl-verificar /etc/openvpn/easy-rsa/pki/crl.pem

# gato /etc/openvpn/ccd/cliente
ruta 192.168.81.0 255.255.255.0 10.8.0.2
ifconfig-push 10.8.0.2 10.8.0.1

# gato /proc/sys/net/ipv4/ip_forward
1

# netstat -an | grupo 1194
tcp 0 0 95.2.171.3:1194 0.0.0.0:* ESCUCHA
tcp 0 0 95.2.171.3:1194 81.190.190.100:62973 ESTABLECIDO

#ifconfig
Encapsulación de enlace eth0: Ethernet HWaddr 20:cf:30:f2:a8:76
          Dirección Internet: 95.2.171.3 Bcast: 95.2.171.31 Máscara: 255.255.255.224
          dirección inet6: fe80::22cf:30ff:fef2:a876/64 Alcance:Enlace
          ARRIBA TRANSMISIÓN EJECUTANDO MULTIDISIÓN MTU:1500 Métrica:1
          Paquetes RX: 255189 errores: 0 descartados: 0 desbordamientos: 0 fotograma: 0
          Paquetes TX: 333054 errores: 0 descartados: 0 desbordamientos: 0 operador: 0
          colisiones:0 txqueuelen:1000
          Bytes de RX: 34521411 (32,9 MiB) Bytes de TX: 367074147 (350,0 MiB)
          Interrupción: 26 Dirección base: 0x8000

lo Encapsulación de enlace: Bucle invertido local
          Dirección Internet: 127.0.0.1 Máscara: 255.0.0.0
          dirección inet6: ::1/128 Alcance:Host
          ARRIBA BUCLE EN EJECUCIÓN MTU:16436 Métrica:1
          Paquetes RX: 15579 errores: 0 descartados: 0 desbordamientos: 0 fotograma: 0
          Paquetes TX: 15579 errores: 0 descartados: 0 desbordamientos: 0 operador: 0
          colisiones:0 txqueuelen:0
          Bytes de RX: 1326071 (1,2 MiB) Bytes de TX: 1326071 (1,2 MiB)

tun0 Encapsulación de enlace:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          Dirección Internet: 10.8.0.1 PtP: 10.8.0.2 Máscara: 255.255.255.255
          PUNTO ARRIBA EJECUTANDO NOARP MULTICAST MTU:1500 Métrica:1
          Paquetes RX: 57 errores: 0 descartados: 0 desbordamientos: 0 fotogramas: 0
          Paquetes TX:6 errores:0 descartados:0 desbordamientos:0 operador:0
          colisiones:0 txqueuelen:100
          Bytes de RX: 6669 (6,5 KiB) Bytes de TX: 504 (504,0 B)

#netstat-rn
Tabla de enrutamiento IP del kernel
Destino Puerta de enlace Genmask Banderas Ventana MSS irtt Iface
10.8.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
95.2.171.0 0.0.0.0 255.255.255.224 U 0 0 0 eth0
192.168.81.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
0.0.0.0 95.2.171.30 0.0.0.0 UG 0 0 0 eth0

# iptables -S
-P ENTRADA ACEPTAR
-P ADELANTE ACEPTAR
-P SALIDA ACEPTAR
-A ENTRADA -i lo -j ACEPTAR
-A ENTRADA -d 127.0.0.0/8 -i !lo -j RECHAZO --rechazar-con puerto-icmp-inalcanzable
-A ENTRADA -i tun0 -j ACEPTAR
-A ENTRADA -m estado --estado RELACIONADO,ESTABLECIDO -j ACEPTAR
-A ENTRADA -p tcp -m tcp --dport 1194 -j ACEPTAR
-A ENTRADA -m límite --límite 5/min -j LOG --log-prefix "iptables denegado: " --log-level 7
-A ENTRADA -j RECHAZO --rechazar-con puerto-icmp-inalcanzable
-A SALIDA -j ACEPTAR

#iptables -t nat -S
-P ACEPTAR ENRUTAMIENTO PREVIO
-P POSTROUTING ACEPTAR
-P SALIDA ACEPTAR
-A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source 95.2.171.3
-A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source 95.2.171.3
-A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source 95.2.171.3

#ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes de datos.
64 bytes de 8.8.8.8: icmp_req=1 ttl=55 tiempo=12,9 ms
64 bytes de 8.8.8.8: icmp_req=2 ttl=55 tiempo=12,8 ms

Esta es toda mi configuración en OpenVPN Server (Debian/Linux).

Configuración del lado del cliente OpenVPN (Mikrotik RouterOS 6)

/impresión de interfaz
Banderas: D - dinámica, X - deshabilitada, R - en ejecución, S - esclava
 # NOMBRE TIPO ACTUAL-MTU L2MTU MAX-L2MTU DIRECCIÓN MAC
 0 R éter1 éter 1500 1600 4076 D4:CA:6D:31:14:F4
 1 S éter2 éter 1500 1598 2028 D4:CA:6D:31:14:F5
 2 S éter3 éter 1500 1598 2028 D4:CA:6D:31:14:F6
 3 S éter4 éter 1500 1598 2028 D4:CA:6D:31:14:F7
 4 S éter5 éter 1500 1598 2028 D4:CA:6D:31:14:F8
 5 RS red inalámbrica1 red inalámbrica 1500 1600 D4:CA:6D:31:14:F9
 6 R puente1 puente 1500 1598 D4:CA:6D:31:14:F5
 7 R ovpn-out1 ovpn-out 1500 FE:3E:27:7D:61:8C

 /impresión del puente de interfaz
Banderas: X - deshabilitado, R - en ejecución
 0 R nombre="bridge1" mtu=auto actual-mtu=1500 l2mtu=1598 arp=habilitado dirección mac=D4:CA:6D:31:14:F5 protocolo-modo=rstp prioridad=0x8000 auto-mac=yes admin -mac=00:00:00:00:00:00 edad-mensaje-máxima=20s de retardo de avance=15s de transmisión-recuento-de-retención=6 tiempo de envejecimiento=5m

/impresión del puerto del puente de interfaz
Banderas: X - deshabilitado, I - inactivo, D - dinámico
 # INTERFAZ PUENTE PRIORIDAD RUTA-COSTO HORIZONTE
 0 I ether2 puente1 0x80 10 ninguno
 1 I puente ether31 0x80 10 ninguno
 2 I ether4 puente1 0x80 10 ninguno
 3 I ether5 puente1 0x80 10 ninguno
 4 wlan1 puente1 0x80 10 ninguno

 /imprimir dirección ip
Banderas: X - deshabilitado, I - inválido, D - dinámico
 # INTERFAZ DE RED DE DIRECCIÓN
 0 192.168.81.1/24 192.168.81.0 puente1
 1 D 192.168.7.200/24 ​​192.168.7.0 éter1
 2 D 10.8.0.2/32 10.8.0.1 ovpn-out1

 /ip cortafuegos impresión nat
Banderas: X - deshabilitado, I - inválido, D - dinámico
 0 cadena = acción srcnat = enmascarar direcciones de destino = 0.0.0.0 interfaz de salida = ether1 log = sin prefijo de registro = ""

 /ip ruta imprimir
Banderas: X - deshabilitado, A - activo, D - dinámico, C - conectar, S - estático, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - inalcanzable, P - prohibir
 # DST-DIRECCIÓN PREF-SRC DISTANCIA DE ENTRADA
 0 ANUNCIOS 0.0.0.0/0 192.168.7.1 0
 1 ADC 10.8.0.1/32 10.8.0.2 ovpn-out1 0
 2 ADC 192.168.7.0/24 192.168.7.200 éter1 0
 3 ADC 192.168.81.0/24 192.168.81.1 puente1 0

 /interfaz ovpn-cliente imprimir
Banderas: X - deshabilitado, R - en ejecución
 0 R nombre="ovpn-out1" dirección mac=FE:3E:27:7D:61:8C max-mtu=1500 conectar-a=195.13.171.3 puerto=1194 modo=ip usuario="cliente" contraseña=" " perfil = certificado predeterminado = autenticación del cliente = cifrado sha1 = aes256 agregar ruta predeterminada = no

 /ping 10.8.0.1
  SEQ TAMAÑO DEL HOST ESTADO DE TIEMPO TTL
    0 10.8.0.1 56 64 6ms
    1 10.8.0.1 56 64 9ms
    2 10.8.0.1 56 64 7ms
    3 10.8.0.1 56 64 6ms
    enviado=4 recibido=4 pérdida de paquetes=0% min-rtt=6ms avg-rtt=7ms max-rtt=9ms

Como puede ver, puedo hacer ping al servidor OpenVPN desde Mikrotik. Pero cuando uso Internet desde una PC local, muestra la dirección IP 81.190.190.100, no la que me gustaría ver: IP de los servidores OpenVPN: 95.2.171.3.

Puedo hacer ping/tracero ruta exitosamente a 10.8.0.1 desde una computadora portátil (192.168.81.100/24), pero no puedo entender por qué no se enruta a través del túnel VPN. Creo que me falta algo con el enrutamiento en el servidor (Linux) o en el cliente (mikrotik).

¡Gracias por tu ayuda! Llevo un tiempo jugando con esto y no puedo ejecutarlo :(

¡Que tenga un buen día!