OpenVPN клиенты не пингуют друг друга

[Evgenii Kungurov]

Здравствуйте, знаю тема заезжанная, и даже есть практически точь в точь тема на форуме, но по сообщению самого форума делаю новую.
1.Есть OpenVPN сервер на VirtualBoX.
2.Роутер с включенным dyndns, авторизацией по pppoe, dhcp с резервированием адресов(все подсеть 192.168.1.0 от роутера), пробросом портов на openvpn и другие сервисы.
3.Адрес шлюза 192.168.1.1
4.Сетевой мост из virtualBox и lan адаптеров.(192.168.1.104)
5.Vbox имеет настройку сети с исп моста, конкретно из пункта 4.
6.Адрес eth0 192.168.1.103.
7.На сервере IPTABLES включены все цепочки в режиме ACCEPT , ipv4_forward включен
Сервер сконфигурирован в режиме маршрутизации (tun), кокретно tun0 - 10.8.0.1
Также в опциях раскоментирована директива client-to-client, и push "route 192.168.1.0 255.255.255.0"
Клиент подключается без ошибок, пингует сервер, я его не пингую, после чего добавляю в роутере маршрут 10.8.0.0 255.255.255.0 192.168.1.103, после чего я начинаю его пинговать и он пингует 192.168.1.103.
Проблема в том,что он не пингует сеть 192.168.1.0 за пределами сервера.
Где еще какой маршрут добавить,чтобы все стало как надо?
Роуты на сервере:
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.8.0.2        *               255.255.255.255 UH    0      0        0 tun0
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.1.0     *               255.255.255.0   U     0      0        0 eth0
default         192.168.1.1     0.0.0.0         UG    0      0        0 eth0

Трассировка с клиента идет через VPN, но дальше ответа не получает.

[fisher74]

В Вашем вопросе уже есть ответ.
Члены локальной сети 192.168.1.0/24 знают, где находится сеть 10.8.0.0/24?
Либо решайте этот вопрос (маршрут на сеть OpenVPN), либо маскарадьте сеть VPN

[Evgenii Kungurov]

Ну, после добавления на роутере маршрута 10.8.0.0/24 gw 192.168.1.103 вся моя локальная сеть пингует 10.8.0.1.
Пользователь решил продолжить мысль 22 Апреля 2012, 16:18:55:Прочитал HOWTO по IPTABLES. Начну по порядку,что понял.
Если Вы говорите делать маскарадинг на VPN сеть, имеете ввиду, что у нее появится интернет. Хотя с самого сервера идет пинг в интернет, а идет он не с самого VPN интерфейса, а с 192.168.1.103.
Маскарадинг применяется при динамическом IP, если статика лучше SNAT.
Т.е. мне необходимо сделать:
а) iptables -t nat -A POSTROUTING -p TCP -o eth0 -j MASQUERADE --to-ports 1194 или
б) iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source 10.8.0.1 или даже так можно наверно? =>
в) iptables -t nat -A PREROUTING -p tcp -d 192.168.1.103 --dport 80 -j DNAT --to-destination 10.8.0.1 (Проброс порта?, а если сделать с роутера прямо на 18.8.0.1, ведь там маршрут прописан до него)

[fisher74]

Ну, после добавления на роутере маршрута 10.8.0.0/24 gw 192.168.1.103 вся моя локальная сеть пингует 10.8.0.1.

Значит это и есть решение проблемы

Если Вы говорите делать маскарадинг на VPN сеть, имеете ввиду, что у нее появится интернет.

Нет, с интернетом это не связано. Хотя и не исключено, что это произойдёт. Первоначальная идея была в другом

Маскарадинг применяется при динамическом IP, если статика лучше SNAT.

Слово "маскарадинг" я применил в извращённом понимании. Правильней было бы сказать "натить", но в данном контексте мне показалось понятнее именно "маскарад".
Конечно же, в случае статического адреса лучше применять SNAT (хотя я думаю в Вашем случае разницу не почувствуете).

Т.е. мне необходимо сделать:
а) iptables -t nat -A POSTROUTING -p TCP -o eth0 -j MASQUERADE --to-ports 1194 или

При чём тут порт?

б) iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source 10.8.0.1

Нет

в) iptables -t nat -A PREROUTING -p tcp -d 192.168.1.103 --dport 80 -j DNAT --to-destination 10.8.0.1 (Проброс порта?

При чём тут порты и тем более их проброс?

Вы решили вопрос правильным способом. Что Вы ещё пытаетесь нагородить?

[Evgenii Kungurov]

Значит это и есть решение проблемы, почему тогда клиент не пингует сеть 192.168.1.0, кроме 192.168.1.103?

[koshev]

Да потому что!
Кто в сети 192.168.1/24, кроме виртуального OpenVPN-сервера, знает как добраться до сети 10.8/24?
Правильно - никто.
И вообще нужно определится, что в итоге будет? Прозрачная маршрутизация между внутренней сетью и сетью OpenVPN, либо односторонний доступ? А то метания Г.Мелехова получаются.

[Evgenii Kungurov]

Роутер знает как добраться до сети 10.8.0.0, с ноута могу пингануть опенвпн, все равно вся сеть 192.168.1.0 раздается самим роутером. Все все пингуют в локальной сети, кроме клиента.
Вам виднее, но как получается. Клиент подключатеся к впп из инета, попадает на роутер, который отправляет прямиком на 192.168.1.103. Допустим это был пакет ICMP, впн его отрабатывает и отдает обратно 1.103, у котоорого шлюзом является роутер, а дальше он отправляет его клиненту. Клиент начинает пинговать например адрес моего ноута 1.101, роутер снова шлет все на впн, впн смотрит, есть ли такой адрес в его маршрутах, если нету берет шлюз по умолчанию, если это eth0, то получается у него шлюз роутер, а он всю сеть знает. ПРавильнно я все описал? В таком положении вещей клиент должен пинговать все, что есть в маршрутах самого роутера.

[fisher74]

С чего это он должен всё пинговать? Ничего, что Вы ему только маршрут на 192.168.1.0/24 передаёте? Вот при подключении к OpenVPN он и знает только про 10.8.0.0/24 и 192.168.1.0/24. К остальному он как ходил через свои изначальные (без подключения в VPN) маршруты, так и ходит

[Evgenii Kungurov]

С чего это он должен всё пинговать? , ну кроме этой подсети, у меня другой нету.

[AnrDaemon]

С чего это он должен всё пинговать? , ну кроме этой подсети, у меня другой нету.

Ну и что? Вам прозрачно намекают, что у вас уже как минимум две сети в наличии.

[Evgenii Kungurov]

Спс всем, наконец меня осенило, прописал маршрут на сервере, как добраться до 192.168.1.101. Теперь имею представление, есть от чего ориентироваться)