Компьютеры за клиентом OpenVPN не видят компьютеров за сервером OpenVPN

[rudre]

Доброго времени суток!
Прошу помочь решить проблему.
В центральном офисе имеется сервер, нам нём установлен OpenVPN (в качестве серверной части). Сервер также выступает в качаестве шлюза и раздаёт интернет в локальную сеть.

Имеется офис продаж, там тоже стоит сервер с установленным OpenVPN(в качестве клиента) и тоже раздаёт инет в локальную сеть. Т.е. для локальной сети офиса продаж он является шлюзом.

Так вот, проблема в том что компьютеры за клиентом OpenVPN не видят компьютеров за сервером OpenVPN. При том что с самого OpenVPN-клиента компьютеры за сервером OpenVPN видны!

Подсеть центрального офиса:
192.168.0.1/16

Подсеть OpenVPN:
10.10.10.0/24

Подсеть офиса продаж:
10.10.254.0/24

[fisher74]

Код: [Выделить]

ip a; ip r
sudo iptables-saveс шлюза центрального офиса.
А ещё лучше с обоих участников VPN
Конфиги OpenVPN тоже в студию

Предполагаю, что офис продаж ни один из интерфейсов шлюза центрального офиса так же не пингует.

[rudre]

Центральный офис:
ip a; ip r

(Нажмите, чтобы показать/скрыть)

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 6c:f0:49:0d:93:82 brd ff:ff:ff:ff:ff:ff
    inet XXX.XXX.XXX.XXX/XX brd XXX.XXX.XXX.XXX scope global eth0
    inet6 fe80::6ef0:49ff:fe0d:9382/64 scope link
       valid_lft forever preferred_lft forever
3: eth2: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
    link/ether 00:e0:52:97:d0:be brd ff:ff:ff:ff:ff:ff
4: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 00:e0:4c:53:09:0a brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.1/16 brd 192.168.255.255 scope global eth1
    inet6 fe80::2e0:4cff:fe53:90a/64 scope link
       valid_lft forever preferred_lft forever
12: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/[65534]
    inet 10.10.10.1 peer 10.10.10.2/32 scope global tun0
10.10.10.2 dev tun0  proto kernel  scope link  src 10.10.10.1
XXX.XXX.XXX.XXX/XX dev eth0  proto kernel  scope link  src XXX.XXX.XXX.XXX
10.10.10.0/24 via 10.10.10.2 dev tun0
10.10.254.0/24 via 10.10.10.2 dev tun0
192.168.0.0/16 dev eth1  proto kernel  scope link  src 192.168.0.1
default via XXX.XXX.XXX.XXX dev eth0  metric 100

iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Tue Sep 10 22:26:25 2013
*filter
:INPUT DROP [1702966:113312136]
:FORWARD ACCEPT [699180803:229990126516]
:OUTPUT DROP [480:25076]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m multiport --dports 22 -j ACCEPT
-A INPUT -i eth0 -p udp -m multiport --dports 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m multiport --dports 1194 -j ACCEPT
-A INPUT -i eth0 -p udp -m multiport --dports 1194 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Tue Sep 10 22:26:25 2013
# Generated by iptables-save v1.4.4 on Tue Sep 10 22:26:25 2013
*nat
:PREROUTING ACCEPT [9213328:667387695]
:POSTROUTING ACCEPT [192874:24692025]
:OUTPUT ACCEPT [6744582:441168449]
-A PREROUTING -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A PREROUTING -d XXX.XXX.XXX.XXX/XX -i eth0 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.0.207
-A PREROUTING -d XXX.XXX.XXX.XXX/XX -i eth0 -p tcp -m tcp --dport 5959 -j DNAT --to-destination 192.168.0.252:25
-A PREROUTING -d XXX.XXX.XXX.XXX/XX -i eth0 -p tcp -m tcp --dport 44899 -j DNAT --to-destination 192.168.0.252
-A PREROUTING -d XXX.XXX.XXX.XXX/XX -i eth0 -p tcp -m tcp --dport 44889 -j DNAT --to-destination 192.168.0.200:44899
-A PREROUTING -d XXX.XXX.XXX.XXX/XX -i eth0 -p tcp -m tcp --dport 8884 -j DNAT --to-destination 192.168.0.202:80
-A PREROUTING -d XXX.XXX.XXX.XXX/XX -i eth0 -p tcp -m tcp --dport 30022 -j DNAT --to-destination 192.168.0.204:22
-A PREROUTING -d XXX.XXX.XXX.XXX/XX -i eth0 -p tcp -m tcp --dport 8888 -j DNAT --to-destination 192.168.100.222:80
-A PREROUTING -d XXX.XXX.XXX.XXX/XX -i eth0 -p tcp -m tcp --dport 8889 -j DNAT --to-destination 192.168.0.204:22
-A PREROUTING -d XXX.XXX.XXX.XXX/XX -i eth0 -p tcp -m tcp --dport 6305 -j DNAT --to-destination 192.168.0.112:22
-A PREROUTING -d XXX.XXX.XXX.XXX/XX -i eth0 -p tcp -m tcp --dport 7621 -j DNAT --to-destination 192.168.0.190
-A PREROUTING -d XXX.XXX.XXX.XXX/XX -i eth0 -p tcp -m tcp --dport 7622 -j DNAT --to-destination 192.168.0.190
-A PREROUTING -d XXX.XXX.XXX.XXX/XX -i eth0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.0.207
-A PREROUTING -d XXX.XXX.XXX.XXX/XX -i eth0 -p tcp -m tcp --dport 143 -j DNAT --to-destination 192.168.0.207
-A PREROUTING -d XXX.XXX.XXX.XXX/XX -i eth0 -p tcp -m tcp --dport 993 -j DNAT --to-destination 192.168.0.207
-A PREROUTING -d XXX.XXX.XXX.XXX/XX -i eth0 -p tcp -m tcp --dport 995 -j DNAT --to-destination 192.168.0.207
-A PREROUTING -d XXX.XXX.XXX.XXX/XX -i eth0 -p tcp -m tcp --dport 465 -j DNAT --to-destination 192.168.0.207
-A PREROUTING -d XXX.XXX.XXX.XXX/XX -i eth0 -p tcp -m tcp --dport 587 -j DNAT --to-destination 192.168.0.207
-A PREROUTING -d XXX.XXX.XXX.XXX/XX -i eth0 -p udp -m udp --dport 5060 -j DNAT --to-destination 192.168.100.222
-A PREROUTING -d XXX.XXX.XXX.XXX/XX -i eth0 -p tcp -m tcp --dport 5060 -j DNAT --to-destination 192.168.100.222
-A PREROUTING -d XXX.XXX.XXX.XXX/XX -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.100.222
-A PREROUTING -d XXX.XXX.XXX.XXX/XX -i eth0 -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.0.204
-A PREROUTING -d XXX.XXX.XXX.XXX/XX -i eth0 -p tcp -m tcp --dport 22080 -j DNAT --to-destination 192.168.0.204:22
-A PREROUTING -d XXX.XXX.XXX.XXX/XX -i eth0 -p tcp -m tcp --dport 22022 -j DNAT --to-destination 192.168.100.222
-A PREROUTING -d XXX.XXX.XXX.XXX/XX -i eth0 -p udp -m udp --dport 10000:20000 -j DNAT --to-destination 192.168.100.222
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Tue Sep 10 22:26:25 2013

Конфигурация сервера OpenVPN:

(Нажмите, чтобы показать/скрыть)

port 1194
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
server 10.10.10.0 255.255.255.0
ifconfig-pool-persist ipp.txt
duplicate-cn
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log-append  openvpn.log
verb 4
mute 20
client-to-client
client-config-dir /etc/openvpn/ccd
route 10.10.254.0 255.255.255.0
push "route 192.168.0.0 255.255.0.0"

Офис продаж:
ip a; ip r

(Нажмите, чтобы показать/скрыть)

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:1d:7d:7f:95:6e brd ff:ff:ff:ff:ff:ff
    inet XXX.XXX.XXX.XXX/XX brd XXX.XXX.XXX.XXX scope global eth0
    inet6 fe80::21d:7dff:fe7f:956e/64 scope link
       valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether c8:d3:a3:83:dd:ec brd ff:ff:ff:ff:ff:ff
    inet 10.10.254.1/24 brd 10.10.254.255 scope global eth1
    inet6 fe80::cad3:a3ff:fe83:ddec/64 scope link
       valid_lft forever preferred_lft forever
4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/none
    inet 10.10.10.30 peer 10.10.10.29/32 scope global tun0
default via XXX.XXX.XXX.XXX dev eth0  metric 100
10.10.10.0/24 via 10.10.10.29 dev tun0
10.10.10.29 dev tun0  proto kernel  scope link  src 10.10.10.30
10.10.254.0/24 dev eth1  proto kernel  scope link  src 10.10.254.1
192.168.0.0/16 via 10.10.10.29 dev tun0
XXX.XXX.XXX.XXX/XXX dev eth0  proto kernel  scope link  src XXX.XXX.XXX.XXX

iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.12 on Tue Sep 10 22:46:05 2013
*filter
:INPUT DROP [160805:9769677]
:FORWARD ACCEPT [4514743:3114546430]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m multiport --dports 22 -j ACCEPT
-A INPUT -i eth0 -p udp -m multiport --dports 22 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Tue Sep 10 22:46:05 2013
# Generated by iptables-save v1.4.12 on Tue Sep 10 22:46:05 2013
*nat
:PREROUTING ACCEPT [289507:19972323]
:INPUT ACCEPT [24648:1422579]
:OUTPUT ACCEPT [24762:1555898]
:POSTROUTING ACCEPT [3022:224275]
-A PREROUTING -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Tue Sep 10 22:46:05 2013

Конфигурация OpenVPN клиента

(Нажмите, чтобы показать/скрыть)

remote XX.XX.XX.XX 1194
client
dev tun
proto udp
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
comp-lzo
verb 4
mute 20

Всё верно... ни один из интерфейсов шлюза центрального офиса не пингуются 

[ArcFi]

Читаем:
http://openvpn.net/index.php/open-source/documentation/howto.html#scope

Дописываем клиенту:

Код: [Выделить]

iroute 10.10.254.0 255.255.255.0

[rudre]

Читаем:
http://openvpn.net/index.php/open-source/documentation/howto.html#scope

Дописываем клиенту:

Код: [Выделить]

iroute 10.10.254.0 255.255.255.0

Благодарю! Почитаю, попробую!

[rudre]

Спасибо, всё получилось!)) Ваш совет помог.
Оказывается файлы в папке ccd нужно называть по "Common Name" сертификата... в этом была моя главная ошибка!