Не работает dante через openvpn туннель

и ничего не работает …
куда рыть?

смотреть логи dante конечно

Через этот интерфейс должен идти только определенный траффик (от dante сервера), поэтому в клиенте на первом сервере openvpn прописаны директивы

и какими средствами трафик от dante заворачивается в 192.168.208.0/24?
Разве он не пойдет в default via 10.137.0.253 dev ens18 onlink

Может мне и на втором сервере надо ставить dante сервер и делать цепочку?

Можно и так, но я бы сделал так:
1) поставил dante только на втором сервере
2) на клиенте прописал бы route в 192.168.208.0/24 через 10.137.85.3
3) на первом vpn сервере прописал форвардинг (либо NAT) пакетов между 192.168.208.0/24 и 10.0.0.0/8

и какими средствами трафик от dante заворачивается в 192.168.208.0/24?
Разве он не пойдет в default via 10.137.0.253 dev ens18 onlink

директива в dante-
internal: ens18 port = 881 - слушает в сети 10.0/8 external: tun0 - запросы направляет и ответы ловит через 192.168.208.0/24

2. на клиенте прописал бы route в 192.168.208.0/24 через 10.137.85.3

если бы 1-2 клиента сокс сервера то да, а если их больше 50-70 ???
получается что в этом случае все таки проще на второй сервер еще dante поставить и сделать цепочку …

internal: ens18 port = 881 - слушает в сети 10.0/8 external: tun0 - запросы направляет и ответы ловит через 192.168.208.0/24

так у тебя никаких маршрутов (default, либо более специфичных) через 192.168.208.1 в таблице роутинга нет. Иными словами в интернет при такой таблице роутинга трафик может пойти только через 10.137.0.253 dev ens18.

В принципе ты можешь в таблице маршрутов (на первом vpn сервере) завернуть default трафик в 192.168.208.1, а через 10.137.0.253 оставить только маршрут ко второму vpn-серверу.
Это можно делать средствами vpn-клиента: см. опцию --redirect-gateway flags (https://openvpn.net/community-resources/reference-manual-for-openvpn-2-6/)

если бы 1-2 клиента сокс сервера то да, а если их больше 50-70 ???

как я понял, vpn-клиент там же, где клиента сокс сервера (иначе как он получил адрес 10.138.11.22), значит и маршрут к 192.168.208.0/24 ему можно при поднятии vpn подключения пропушить с vpn-сервера.

как я понял, vpn-клиент там же, где клиента сокс сервера (иначе как он получил адрес 10.138.11.22), значит и маршрут к 192.168.208.0/24 ему можно при поднятии vpn подключения пропушить с vpn-сервера.

Нет, есть 2 сервера, первый в сети 10.0/8, второй вовне на внешней площадке в интернете.

Есть раб.станции в сети 10.0/8, которые используют сокс сервер dante расположенный по адресу 10.137.85.3 на первом сервере, и который сервис dante должен ТОЛЬКО этих клиентов пробрасывать через туннель опенвпн со вторым сервером в интернет через второй сервер.

Соответственно на раб.станциях не ставится никакого клиента опенвпн или еще что либо. Просто в настройках браузера прописывается адрес сокс сервера 10.137.85.3 с портом 881.

Да, при этом на первом сервере живет еще скатд, который ходит по деыолт маршруту на 10.137.0.253 и через который другие рабочие станции получают доступ в интернет.

Поэтому завернуть весь трафик с первого сервера в туннель опенапн нельзя. Нужно только трафик от сервиса dante….

Нет, есть 2 сервера, первый в сети 10.0/8, второй вовне на внешней площадке в интернете.

а, мне почему-то показалось, что имеет место цепочка из двух vpn серверов.
Но я бы всё равно поставил dante только на втором сервере, а на шлюзе (10.137.0.253) прописал маршрут в подсеть 192.168.208.0/24 через 10.137.85.3. На 10.137.85.3 соответственно включил бы forwarding или NAT из 10.0.0.0/8 в 192.168.208.0/24.

Как вариант делать не L3, а L2 vpn-туннель (tap) и объединять через бридж с 10.0.0.0/8. Тогда второму серверу можно будет выдать IP из подсети 10.0.0.0/8.

сделал с цепочкой - все отлично работает!
спасибо за ссылку - https://www.inet.no/dante/doc/1.4.x/config/chaining.html

на этом и остановлюсь ))

Я бы упростил систему, поставив на первый сервер tun2socks. тогда openvpn и весь этот роутинг вовсе не нужен.