OPENVPN на DEBIAN.клиенту доступен только один адрес за VPN сервером

Сервер является шлюзом по умолчанию для интересующих машин? Если нет, то выходящие из VPN пакеты придётся NATить.

то есть будет проще если Openvpn разворачивать на машине,которая является gate для всех в локалке?

кстати а вариант настроить в режиме server-bridge не будет в моем случае проще?

Это логично, но необязательно. Шлюз должен как минимум знать, что за машиной с openvpn находится нужная подсеть.

server-bridge подойдёт, клиентам соответственно будут раздаваться адреса из указанной подсети.

1.скажите а какие принципиальные отличия этих двух режимов? какой вариант опаснее или безопаснее?(я про server И server-bridge) и 2.в режиме server-bridge меньше манипуляций с NATингом? или скажем так их совсем нет? мне необходимо по задачам переодически залазить в локалку с USB модема (где IP постоянно меняется)..

server-bridge просто позволяет раздать клиентам часть локального диапазона силами openvpn, к нему в комплекте должен идти скрипт, который включает/выключает мост при запуске/остановке сервера. Соответственно, клиент подключенный в таком режиме получит ip из подсети 192.168.48.0/22 и будет ходить в сеть напрямую.

В случае с NAT клиент сидит в своей 10.8.0.0/24, а во внутреннюю сеть ходит от имени сервера (192.168.50.1). Этот вариант подходит если есть желание скрыть своё присутствие в сети и терпеть небольшие неудобства, связанные с натом.

понял.спасибо) буду пробовать))

все получилось в режиме роутинга!!!

помогло следующее:

1.iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -d 192.168.48.0/22 -j SNAT --to-source 192.168.50.20

2.echo 1 > /proc/sys/net/ipv4/ip_forward

#подсеть за OPENVPN сервером: 192.168.48.0/22 # #IP в локалке OPENVPN сервера: 192.168.50.20 # 3.Автозагрузка правил iptables и Debian.

(Инструкция:Ставим пакет iptables-persistent Установится скрипт /etc/init.d/iptables-persistent, который и будет восстанавливать правила после запуска системы. Так же предложат сохранить уже имеющиеся правила. Правила теперь находятся в /etc/iptables/rules после тестирования правил, сохраняем их iptables-save > /etc/iptables/rules.v4 И не забыть еще в /etc/sysctl.conf раскомментировать строку net.ipv4.ip_forward=1 либо где-то в автозагрузку пихать придется строку вида echo 1 > /proc/sys/net/ipv4/ip_forward

Лучше так - там же ещё подсети были. Ну или на каждую своё правило прописывать.

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j SNAT --to-source 192.168.50.20

я так понимаю следуующей строчкой можно по аналогии прописывать для другой подсети правило в /etc/iptables/rules.v4 ?

-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j SNAT --to-source 192.168.50.20

-A POSTROUTING -s 10.8.0.0/24 -d 10.49.1.0/22 -j SNAT --to-source 10.49.1.10

??

чет не прокатывает с сеткой (новодобавленой)????? хм...добавил новый интерфейс с IP 10.49.1.10 (mask 24 network 10.49.1.0)

может с широковещателными адресами это не катит?

c 192.168.1.0 сеткой прокатило... хм..

кажись понял в 10.x.x.x сети не должны быть одновременно два интерфейса.походу.. поменял на 192.168.x.x сеть VPN и все чики пуки)

10.8.0.0/24 и 10.49.1.0/24 - это разные сети, проблем быть не должно.

черт...!!!!!!!!!!это я лошара!!! ip адрес в конце другой поставил...(запутался со своим многообразием подсетей блин))...вернул 10.8.0.0 все работает)))