OpenVPN и подсети

[Carataman]

Всем здравствуйте! Новичок в работе с OpenVPN, жизнь заставила. Есть вопросы:
Есть поднятый OpenVpn сервер с ip сети 10.10.0.0 /16
Так как маска широкая создал несколько клиентов
Подсеть 1:
172.16.1.0/24
13 клиентов
Подсеть 2:
172.16.2.0/24
20 клиентов
Подсеть 3(сеть админа):
10.10.1.0/28
2 клиента

В каждой подсети клиенты друг друга видят, но достучатся до сервера не могут. И так же необходимо, что бы админская сеть (10.10.1.0/28) могла видеть все сети.

Насколько я понимаю нужно настроить маршрутизацию для виртуального интерфейса?
Схема сети во вложении к теме.
Конфиг сервера:
port 1194
proto tcp
dev tap
ca ca.crt

cert server.crt

key server.key
dh dh2048.pem
server 10.10.0.0 255.255.0.0
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
tls-auth ta.key 0 # This file is secret

key-direction 0
cipher AES-128-CBC   # AES

auth SHA256
comp-lzo

user nobody

group nogroup
persist-key

persist-tun
verb 3

[fisher74]

Вообще ничего не понятно.
При чём тут 172.16.х.0/24 сети, если разговор идёт про 10.10.0.0/16 ?

Вы только в OVPN новичок или вообще в сетях?
Не в обиду, просто чтобы хоть чуточку понимать Ваш уровень.

[Carataman]

Начинающий "любитель"

Насколько я знаю, сеть с широкой маской можно разбить на более мелкие сети. И поэтому сделал такое предположение, что я могу создать несколько подсетей с 172.16.x.0. Или я что то не понимаю?

Хорошо, если я создам сеть сервера 172.16.x.0, и создам подсети 172.16.x+1.0, вопрос остается не решенным

[fisher74]

Тут нужно понимать, что есть "выделена сеть". Выделена Вам для использования, или уже оформлена, как сегмент сети? С брадкастом, шлюзом и всё такое.

[Carataman]

Идея заключается в чем, есть несколько филиалов, и мне необходимо создать несколько подсетей, что бы они друг друга не видели, а достучаться до них могли только 2-3 клиента(админ)

[AnrDaemon]

Это, на самом деле, глупое желание.
А решение, в принципе, тривиальное - не использовать OpenVPN.

[fisher74]

Вынужден с Вами не согласиться.
Решение использовать тот или иной механизм управления сетью остаётся за админом. И он, в любом случае, в глазах одних специалистов - он прав, в глазах других - полный профан.
ТС хочет так сделать? Он видит систему в таком виде. Пуст делает. Вы можете предложить лучше - предлагайте.

Carataman, составляете план сетевой адресации: сети филиалов, сеть головняка, линковые сети для VPN. Естественно, они не должны пересекаться.
Только после этого уже возможна осознанная реализация.
Иначе будет много проблем, которые будут вырастать, как грибы на грибном месте.
Они и так будут появляться. Но уже не будут связаны со структурой корпоративной сети.
Если не знаете как сделать план адресации, то вычёркивайте себя из списков админов и вперёд изучать теорию. Вам до OVPN непристойно далеко.

[AnrDaemon]

Если человеку нужен доступ только для считанных единиц пользователей, SSH будет достаточным решением.
А если нужен именно полный доступ к удалённой сети, тогда теорию в зубы и штудировать.