Доступ к локально сети к сети за Openvpn серевером

0

2

Здравствуйте! Помогите мне пожалуйста разобраться со следующим вопросом. Есть шлюз на centos на нем поднят eth0 - интернет, eth1 - локальная сеть 192.168.111.0/24 , tun0 - получает адрес OpenVpn сервера 10.10.9.10/255.255.255.255 . За OpenVpn сервером сеть 192.168.2.0/24 Вопрос в том как организовать доступ из локальной сети 192.168.111.0/24 к сети за openvpn сервером 192.168.2.0/24 На шлюзе добавил маршрутизацию route add -net192.168.2.0/24 gw 10.10.9.9 После чего со шлюза стали пинговаться машины в сети 192.168.2.0/24.

Из локальной сети 192.168.111.0/24 пингов нет. Пробовал добавлять в iptables следующие правила:

-A POSTROUTING -s 192.168.111.0/24 -d 192.168.2.0/24 -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A FORWARD -i eth1 -o tun0 - j ACCEPT
-A FORWARD -i tun0 -o eth1 - j ACCEPT
-A FORWARD -s 192.168.111.0/24 -d 192.168.2.0/24 -j ACCEPT

Сеть так и не пингуется. Помогите что может делаю не так?

Ссылка

←	Скорость работы локальной сети

Добавить команду в автозагрузку CentOS 7

→

Если в правилах iptables нет лишнего, а сервер является шлюзом, т.е. маршрутом по умолчанию для машин локальной сети, разрешено продвижение пакетов между интерфейсами

echo 1 > /proc/sys/net/ipv4/ip_forward

на втором участнике VPN сети проложен обратный маршрут, то всё должно пинговаться.

Давай целиком вывод

iptables-save

на pastebin.
А заодно

ip r

kostik87 ★★★★★
(27.04.16 08:30:31 MSK)
Последнее исправление: kostik87 27.04.16 08:31:03 MSK (всего исправлений: 1)

Ответ на: комментарий от kostik87 27.04.16 08:30:31 MSK

http://pastebin.ru/Q0bSKlZU iptables-save

ip r

10.10.9.9 dev tun0  proto kernel  scope link  src 10.10.9.10
10.10.9.1 via 10.10.9.9 dev tun0
46.232.207.214/31 dev eth0  proto kernel  scope link  src 46.232.207.215
78.25.74.28/30 dev eth0  proto kernel  scope link  src 78.25.74.30
192.168.109.64/27 via 192.168.111.254 dev eth1
192.168.109.96/27 via 192.168.111.202 dev eth1
192.168.109.0/27 via 192.168.111.72 dev eth1
192.168.109.32/27 via 192.168.111.71 dev eth1
192.168.109.192/27 via 192.168.111.27 dev eth1
192.168.109.128/27 via 192.168.111.132 dev eth1
192.168.109.160/27 via 192.168.111.200 dev eth1
192.168.116.0/24 via 192.168.10.115 dev tap0
192.168.112.0/24 dev eth2.1109  proto kernel  scope link  src 192.168.112.1
192.168.2.0/24 via 10.10.9.9 dev tun0
192.168.113.0/24 dev eth2.1110  proto kernel  scope link  src 192.168.113.1
192.168.0.0/24 via 10.10.9.9 dev tun0
192.168.115.0/24 via 192.168.10.115 dev tap0
192.168.15.0/24 dev eth2.1109  proto kernel  scope link  src 192.168.15.1
192.168.111.0/24 dev eth1  proto kernel  scope link  src 192.168.111.9
192.168.11.0/24 dev tap1  proto kernel  scope link  src 192.168.11.1
192.168.10.0/24 dev tap0  proto kernel  scope link  src 192.168.10.111
default via 46.232.207.214 dev eth0

Rusat
(27.04.16 09:02:46 MSK) автор топика

Ответ на: комментарий от Rusat 27.04.16 09:02:46 MSK

Правила нужно добавить два:

-A FORWARD -s 192.168.111.0/24 -d 192.168.2.0/24 -j ACCEPT
-A FORWARD -d 192.168.111.0/24 -s 192.168.2.0/24 -j ACCEPT

Они должны располагаться перед всеми правилами в цепочке FORWARD с действием DROP.

kostik87 ★★★★★
(27.04.16 09:16:08 MSK)

Тут должны быть конфиги сервера и клиентов, но я их почему-то не вижу.

В любом случае сервер должен пушить роуты клиентам и в ccd смотреть, за каким клиентом какая сеть.

В идеале руками роуты прописывать не нужно. Хватить только разрешения форвардинга.

Radjah ★★★★★
(27.04.16 09:39:00 MSK)

Ответ на: комментарий от Radjah 27.04.16 09:39:00 MSK

конфиг клиента

client
proto udp
remote-cert-tls server
verb 2
dev tun0
cert client_21084.crt
key client_21084.key
ca ca.crt
remote XX.XX.XX.XX 1194
comp-lzo

конфиг сервера не могу выложить, так как он не мой. Нет к нему доступа

Rusat
(27.04.16 10:59:46 MSK) автор топика

Ответ на: комментарий от kostik87 27.04.16 09:16:08 MSK

Пробовал добавить

-A FORWARD -s 192.168.111.0/24 -d 192.168.2.0/24 -j ACCEPT
-A FORWARD -d 192.168.111.0/24 -s 192.168.2.0/24 -j ACCEPT

результат не дало из локальной сети 192.168.111.0/24 tun0 10.10.9.10 пингуется

Rusat
(27.04.16 11:02:08 MSK) автор топика

Ответ на: комментарий от Rusat 27.04.16 11:02:08 MSK

Так, нарисуй схему сети, внутренний интерфейс сервера, внешний, IP адрес VPN сети на клиенте и на сервере и схему второй сети.

Хоть от руки и фотографию на хостинг картинок.

kostik87 ★★★★★
(27.04.16 11:27:04 MSK)

Ссылка

Ответ на: комментарий от Rusat 27.04.16 10:59:46 MSK

И чем тебе тогда поможет форвардинг? Маршрутов не добавишь на сервер, конфиг не поправишь. Тут только маскарад.

Radjah ★★★★★
(27.04.16 13:02:38 MSK)

Ответ на: комментарий от Radjah 27.04.16 13:02:38 MSK

Как бы вот этого:

На шлюзе добавил маршрутизацию route add -net192.168.2.0/24 gw 10.10.9.9 После чего со шлюза стали пинговаться машины в сети 192.168.2.0/24.

Почти достаточно, что бы настроить для локальной сети за шлюзом. Разве что на VPN сервере тоже нужно прописать маршрут до сети 192.168.111.0/24. Ну либо NAT, но из сети 192.168.2.0/24 в таком случае сеть 192.168.111.0/24 не будет видна.

kostik87 ★★★★★
(27.04.16 14:14:19 MSK)

Ответ на: комментарий от kostik87 27.04.16 14:14:19 MSK

Тогда всё равно надо Доступ к локально сети к сети за Openvpn серевером (комментарий)

Radjah ★★★★★
(27.04.16 15:04:04 MSK)

Ответ на: комментарий от Radjah 27.04.16 15:04:04 MSK

Надо :)

kostik87 ★★★★★
(27.04.16 15:05:14 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Скорость работы локальной сети

Admin

Добавить команду в автозагрузку CentOS 7

→

Похожие темы