Всем привет. Сильно не пинайте, с линуксами общаюсь раз в 1000 лет, поэтому прошу помощи. Дано: Сервер на центосе 7 с двумя сетевками. В первую прилетает интернет от провайдера (enp1s0), вторая раздает интернет в локалку (enp0s25). На сервере поднят OpenVPN и надо некоторым клиентам разграничивать доступ к внутренним ресурсам. Допустим: есть клиент1 (Я), получаю доступ к внутренним ресурсам сети просто зная их айпишники (у клиента настроен push route), и есть клиент2 (любой другой юзер), который может получать только доступ к серваку и другим клиентам по адресу, который выдает OpenVPN (по-дефолту 10.8.0.0/21). Недавно организовал файлопомойку, имеет айпи внутри сети 192.168.254.252, т.е. клиент1 до нее спокойно добирается. Необходимо, чтоб клиент2 до нее добрался, но не по внутреннему айпи. Что я сделал: поставил на файлопойку OpenVPN в режиме клиента и присвоил ему айпи 10.8.0.122. Теперь все работает чудесно, НО, при установленном соединении файлопомойки с VPN-сервером клиент1 не попадает на файлопойку по адресу 192.168.254.252, пинги тоже не идут, но зато заходит по 10.8.0.122. ОСь файлопомойки тоже центос 7.
Конфиги
iptables сервера
*nat
:PREROUTING ACCEPT [382685:29808226]
:INPUT ACCEPT [154164:8559112]
:OUTPUT ACCEPT [101900:7485766]
:POSTROUTING ACCEPT [32695:2018902]
-A PREROUTING -i enp1s0 -p tcp -m tcp --dport 9091 -j DNAT --to-destination 192.168.254.252:9091
-A POSTROUTING -s 10.8.0.0/21 -o enp1s0 -j MASQUERADE
-A POSTROUTING -o enp1s0 -j MASQUERADE
-A POSTROUTING -o tun1 -j MASQUERADE
-A POSTROUTING -o tun0 -j MASQUERADE
COMMIT
# Completed on Thu Feb 24 11:36:49 2022
# Generated by iptables-save v1.4.21 on Thu Feb 24 11:36:49 2022
*mangle
:PREROUTING ACCEPT [54671417:35040618987]
:INPUT ACCEPT [29483907:5558585469]
:FORWARD ACCEPT [25187469:29482027078]
:OUTPUT ACCEPT [42679054:46943358989]
:POSTROUTING ACCEPT [67866944:76425484586]
COMMIT
# Completed on Thu Feb 24 11:36:49 2022
# Generated by iptables-save v1.4.21 on Thu Feb 24 11:36:49 2022
*filter
:INPUT DROP [62241:6211400]
:FORWARD ACCEPT [9526010:7318252668]
:OUTPUT ACCEPT [36136095:44539203773]
:f2b-asterisk-tcp - [0:0]
:f2b-asterisk-udp - [0:0]
-A INPUT -p udp -m multiport --dports 5060,5061,5065 -j f2b-asterisk-udp
-A INPUT -p tcp -m multiport --dports 5060,5061,5065 -j f2b-asterisk-tcp
-A INPUT -p udp -m multiport --dports 5060,5061,5065 -j f2b-asterisk-udp
-A INPUT -p tcp -m multiport --dports 5060,5061,5065 -j f2b-asterisk-tcp
-A INPUT -p udp -m multiport --dports 5060,5061,5065 -j f2b-asterisk-udp
-A INPUT -p tcp -m multiport --dports 5060,5061,5065 -j f2b-asterisk-tcp
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.254.0/24 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -s 10.8.0.0/21 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 67 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 67 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 137:139 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 10000 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 20:21 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 1194 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 5065 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 20000:21999 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -s 10.200.0.0/21 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A FORWARD -d 192.168.254.252/32 -p tcp -m tcp --dport 9091 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i enp0s25 -o enp1s0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i enp0s25 -o enp1s0 -j ACCEPT
-A FORWARD -i enp0s25 -o tun1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i enp0s25 -o tun1 -j ACCEPT
-A FORWARD -i enp0s25 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i enp0s25 -o tun0 -j ACCEPT
-A f2b-asterisk-tcp -s 20.203.144.171/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-asterisk-tcp -j RETURN
-A f2b-asterisk-udp -s 20.203.144.171/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-asterisk-udp -j RETURN
COMMIT
server.conf сервера
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 10.8.0.0 255.255.248.0
ifconfig-pool-persist ipp.txt
push «route 10.8.0.0 255.255.248.0»
client-config-dir ccd
client-to-client
keepalive 10 120
comp-lzo
max-clients 1000
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3
Маршрутизация сервера
default via 31.200.236.181 dev enp1s0
10.8.0.0/21 via 10.8.0.2 dev tun0
10.8.0.2 dev tun0 proto kernel scope link src 10.8.0.1
10.200.0.0/21 via 10.200.0.1 dev tun1
10.200.0.1 dev tun1 proto kernel scope link src 10.200.0.2
айпи провайдера dev enp1s0 proto kernel scope link src шлюз провайдера
169.254.0.0/16 dev enp0s25 scope link metric 1002
169.254.0.0/16 dev enp1s0 scope link metric 1003
172.16.254.0/24 via 10.200.0.1 dev tun1
192.168.254.0/24 dev enp0s25 proto kernel scope link src 192.168.254.254
Конфиг моего клиента из каталога ccd
ifconfig-push 10.8.0.2 10.8.0.1
push «route 192.168.254.0 255.255.255.0»
push «dhcp-option DNS 192.168.254.254»
push «dhcp-option DOMAIN unix.nt»
Конфиг произвольного клиента
ifconfig-push 10.8.0.26 10.8.0.25
Конфиг клиента файлопомойки
client
dev tun
proto udp
remote 192.168.254.254
resolv-retry infinite
nobind
persist-key
persist-tun
корневой серт
серт клиента
ключ клиента
remote-cert-tls server
cipher AES-256-CBC
comp-lzo
verb 3
keysize 128
iptables файлопомойки
# Generated by iptables-save v1.4.21 on Thu Feb 24 13:58:43 2022
*filter
:INPUT DROP [20304:3049972]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5693699:3589229951]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.254.0/24 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -s 10.8.0.0/21 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 137:138 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 135 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 9091 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 10000 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 50001 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 50002 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 1900 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8200 -j ACCEPT
COMMIT
# Completed on Thu Feb 24 13:58:43 2022
# Generated by iptables-save v1.4.21 on Thu Feb 24 13:58:43 2022
*mangle
:PREROUTING ACCEPT [7830507:29380402971]
:INPUT ACCEPT [7830199:29380379563]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5693709:3589232447]
:POSTROUTING ACCEPT [5695558:3589450997]
COMMIT
# Completed on Thu Feb 24 13:58:43 2022
# Generated by iptables-save v1.4.21 on Thu Feb 24 13:58:43 2022
*nat
:PREROUTING ACCEPT [35265:6079349]
:INPUT ACCEPT [14703:3013729]
:OUTPUT ACCEPT [24523:2537301]
:POSTROUTING ACCEPT [24523:2537301]
COMMIT
# Completed on Thu Feb 24 13:58:43 2022
За конфиги iptables сильно не материте, тут суть в том, что сервер является заодно и клиентом openvpn и я как мог завернул весь трафик в локалку, чтоб прозрачно общаться из своей подсети со своими клиентами (10.8.0.0) и клиентами другого vpn-сервера (10.200.0.0). И почему-то все конфиги не получилось разместить под кат, хотя все читал по мануалу