LINUX.ORG.RU
ФорумAdmin

Проблемы с маршрутизацией OpenVPN

 


0

1

Добрый день, не могу уже 3 день настроить маршрутизацию OpenVPN

Вот упрощенная схема https://disk.yandex.ru/i/o_zuKGsrDHwRrg

Клиент категорически не видет сеть за сервером

Это конфиг сервера

port 1194
proto udp

dev tun
#dev tap
#dev-node tap-bridge
server 10.8.0.0 255.255.255.0
#server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100

ca "/etc/openvpn/server/keys/ca.crt"
cert "/etc/openvpn/server/keys/server.crt"
key "/etc/openvpn/server/keys/server.key" # This file should be kept secret
dh "/etc/openvpn/server/keys/dh2048.pem"

#tls-auth "C:\\Program Files\\OpenVPN\\keys\\ta.key" 0 # This file is secret
keepalive 10 120
comp-lzo
persist-key
persist-tun
cipher AES-256-CBC
status "/var/log/openvpn/status.log"
log "/var/log/openvpn/openvpn.log"
verb 4
mute 20
remote-cert-tls client
#link-mtu 1558
tun-mtu 1500
fragment 1500
mssfix 1430

#маршруты к сетям клиентов
ifconfig-pool-persist ipp.txt
client-config-dir /etc/openvpn/ccd
ccd-exclusive 
client-to-client
route 192.168.0.0 255.255.255.0
route 192.168.1.0 255.255.255.0
route 192.168.24.0 255.255.255.0
#push "route 10.10.10.0 255.255.255.0"
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.24.0 255.255.255.0"

Это конфиг клиента

client
dev tun
proto udp

#remote XXX.XXX.XX.XXX 1194 udp
resolv-retry infinite
nobind
persist-key
persist-tun


ca "/home/Admin/ca.crt"
cert "/home/Admin/client.crt"
key "/home/Admin/client.key"

#ns-cert-type server
remote-cert-tls server

comp-lzo
verb 3
explicit-exit-notify 2
ping 10
ping-restart 60

route-method exe
route-delay 2
auth-nocache
#link-mtu 1558
cipher AES-256-CBC
keysize 256

tun-mtu 1500
fragment 1500
mssfix 1430

Клиенты в подсети 192.168.24.0/24 ничего не знают про 10.8.0.0/24
А значит отвечают на входящие от VPN сервера пакеты клиента сети VPN не VPN серверу, а на default gw,
который у них, я уверен, у них вовсе не 192.168.24.114

Что значит что всё не работает, потому что и не должно.
Всё в порядке, иди учить маршрутизацию. Еще дней 6.

zgen ★★★★★ ()
Последнее исправление: zgen (всего исправлений: 2)

Нужно либо добавить маршрут через VPN-сервер на всех компьютерах в 192.168.24.0/24, либо настроить для VPN-клиентов NAT на VPN-сервере, тогда запросы к 192.168.24.0/24 будут идти с IP-адреса VPN-сервера (192.168.24.114), если вас такое устроит.

Это при условии, что проблема именно в маршрутизации, а не в чём-то другом.

Отлаживать подобные проблемы стоит с помощью tcpdump/wireshark на VPN-сервере.

ValdikSS ★★★★★ ()


# Эту на картинке я не нашел:
#route 192.168.0.0 255.255.255.0
route 192.168.1.0 255.255.255.0
#route 192.168.24.0 255.255.255.0
#push «route 10.10.10.0 255.255.255.0»
#push «route 192.168.1.0 255.255.255.0»
push «route 192.168.24.0 255.255.255.0»
route-gateway 10.8.0.1
push «redirect-gateway def1 bypass-dhcp»

Paradzzz ()