OpenVpn. Как зайти в сеть клиента?

[kon-dv]

Всем доброго времени суток.
Имеется сеть VPN и нужно попасть в сеть одного из клиентов.
Клиент:

Код: [Выделить]

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 08:00:27:21:d0:85 brd ff:ff:ff:ff:ff:ff
    inet 192.168.10.66/24 brd 192.168.10.255 scope global eth0
    inet6 fe80::a00:27ff:fe21:d085/64 scope link
       valid_lft forever preferred_lft forever
3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/none
    inet 10.8.0.34 peer 10.8.0.33/32 scope global tun0Средствами OpenVPN добился, что вижу ip адрес клиента в локальной сети, но дальше клиента пройти не могу.
Пинг с сервера OpenVPN:

Код: [Выделить]

root@ubuntu:/etc/openvpn# ping 192.168.10.66
PING 192.168.10.66 (192.168.10.66) 56(84) bytes of data.
64 bytes from 192.168.10.66: icmp_req=1 ttl=64 time=34.0 ms
64 bytes from 192.168.10.66: icmp_req=2 ttl=64 time=33.7 ms
^C
--- 192.168.10.66 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1000ms
rtt min/avg/max/mdev = 33.733/33.912/34.091/0.179 msHelp...

[AnrDaemon]

Без желания на то самого клиента вы никак в его сеть не попадёте.
Он должен для вас настроить маршрутизацию и, при необходимости, трансляцию адресов.

[fisher74]

У клиента форвард между интерфейсами разрешён? Клиенты его сети знают про сеть VPN, или клиентский шлюз для них дефолтный гетвей?
Какими средствами OpenVPN добивались видимости локального IP-адреса клиента? Покажите строчку персонального конфига.

[kon-dv]

Форвард разрешен.
В конфиге сервера:

Код: [Выделить]

# Указываем сети, в которые нужно идти через туннель (сеть-клиента).
route 192.168.10.0 255.255.255.0
route 192.168.0.0 255.255.255.0

# Включаем TLS
tls-server
tls-auth keys/ta.key 0
tls-timeout 120
auth MD5
cipher BF-CBC

# Если нужно, чтобы клиенты видели друг друга раскомментируйте
client-to-client
push "route 192.168.10.0 255.255.255.0"В конфиге клиента:

Код: [Выделить]

root@ubuntu:/etc/openvpn/ccd# cat most
# Назначаем IP-адрес клиенту
ifconfig-push 10.8.0.34 10.8.0.33

# Внутренний путь до клиента
iroute 192.168.10.0 255.255.255.0
push "route 192.168.0.0 255.255.255.0"

[ArcFi]

kon-dv, на клиенте и на сервере:

Код: [Выделить]

ip a ; ip r ; sudo iptables-save

[kon-dv]

На сервере:
ip a

Код: [Выделить]

5029: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/none
    inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0ip r

Код: [Выделить]

root@ubuntu:/etc/openvpn# ip r
default via 93.170.128.1 dev eth0
10.8.0.0/24 via 10.8.0.2 dev tun0
10.8.0.2 dev tun0  proto kernel  scope link  src 10.8.0.1
93.170.128.0/22 dev eth0  proto kernel  scope link  src 93.170.130.63
192.168.0.0/24 via 10.8.0.2 dev tun0
192.168.10.0/24 via 10.8.0.2 dev tun0iptables-save

Код: [Выделить]

root@ubuntu:/etc/openvpn# iptables-save
root@ubuntu:/etc/openvpn# Клиент:

Код: [Выделить]

root@most:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 08:00:27:21:d0:85 brd ff:ff:ff:ff:ff:ff
    inet 192.168.10.66/24 brd 192.168.10.255 scope global eth0
    inet6 fe80::a00:27ff:fe21:d085/64 scope link
       valid_lft forever preferred_lft forever
4: tun: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1280 qdisc pfifo_fast state UNKNOWN qlen 500
    link/none
    inet6 2001:5c0:1400:a::597/128 scope global
       valid_lft forever preferred_lft forever
9: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/none
    inet 10.8.0.34 peer 10.8.0.33/32 scope global tun0

root@most:~# ip r
default via 192.168.10.3 dev eth0  proto static
10.8.0.0/24 via 10.8.0.33 dev tun0
10.8.0.33 dev tun0  proto kernel  scope link  src 10.8.0.34
169.254.0.0/16 dev eth0  scope link  metric 1000
192.168.0.0/24 via 10.8.0.33 dev tun0
192.168.10.0/24 dev eth0  proto kernel  scope link  src 192.168.10.66

root@most:~# iptables-save
root@most:~#


[fisher74]

таблицу маршрутизации на пингуемой машине покажите

[kon-dv]

Код: [Выделить]

root@most:~# netstat -r
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
default         192.168.10.3    0.0.0.0         UG        0 0          0 eth0
10.8.0.0        10.8.0.33       255.255.255.0   UG        0 0          0 tun0
10.8.0.33       *               255.255.255.255 UH        0 0          0 tun0
link-local      *               255.255.0.0     U         0 0          0 eth0
192.168.0.0     10.8.0.33       255.255.255.0   UG        0 0          0 tun0
192.168.10.0    *               255.255.255.0   U         0 0          0 eth0

[fisher74]

читайте внимательней вопрос. Прошу таблицу с клиента локальной сети клиента VPN. Той машины, которую пингуете проверяя доступ сети клиента.

[kon-dv]

Извиняюсь...

Код: [Выделить]

root@test:~# netstat -r
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
default         192.168.10.3    0.0.0.0         UG        0 0          0 eth0
link-local      *               255.255.0.0     U         0 0          0 eth0
192.168.10.0    *               255.255.255.0   U         0 0          0 eth0


[fisher74]

sudo route add -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.10.66
sudo route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.10.66
на этом клиенте клиентской сети или тоже самое на шлюзе 192.168.10.3 (что правильней)

Как вариант: занатить/маскарадить локальный интерфейс на клиенте OpenVPN, но тогда пользователи сети VPN будут обезличины для сети клиента.

[kon-dv]

Большое спасибо! Заработало