Доступ в подсеть за сервером OpenVpn

[mr_necromancer]

С клиента не пингуется подсеть, которая за сервером vpn.

server.conf (конф. опенвпн на сервере)

(Нажмите, чтобы показать/скрыть)

#local a.b.c.d

port 1194

#proto tcp
proto udp

dev tap0
#dev tun0

#dev-node MyTap

ca ca.crt
cert server.crt
key server.key  # This file should be kept secret

dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig 10.8.0.1 10.8.0.2
ifconfig-pool-persist ipp.txt

#server-bridge 10.8.0.1 255.255.255.252 10.8.0.1 10.8.0.2

push "route 192.168.0.0 255.255.255.0"
#push "route 192.168.20.0 255.255.255.0"

#client-config-dir ccd
#route 192.168.40.128 255.255.255.248
#client-config-dir ccd
#route 10.9.0.0 255.255.255.252
#learn-address ./script
#push "redirect-gateway def1 bypass-dhcp"
#push "dhcp-option DNS 208.67.222.222"
#push "dhcp-option DNS 208.67.220.220"
client-to-client
#duplicate-cn
keepalive 10 120
#tls-auth ta.key 0 # This file is secret
#cipher BF-CBC        # Blowfish (default)
#cipher AES-128-CBC   # AES
#cipher DES-EDE3-CBC  # Triple-DES
comp-lzo
#max-clients 100
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log         openvpn.log
log-append  openvpn.log
verb 3
#mute 20

ifconfig

(Нажмите, чтобы показать/скрыть)

ifconfig
eth0      Link encap:Ethernet  HWaddr 00:26:5a:71:3a:be
          inet addr:192.168.0.201  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::226:5aff:fe71:3abe/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:105420 errors:0 dropped:0 overruns:0 frame:0
          TX packets:20867 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:10008655 (10.0 MB)  TX bytes:5751670 (5.7 MB)
          Interrupt:10

eth1      Link encap:Ethernet  HWaddr 00:11:95:5c:9a:be
          inet addr:xx.xx.xx.xx  Bcast:xx.xx.xx.255  Mask:255.255.255.192
          inet6 addr: fe80::211:95ff:fe5c:9abe/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:146578 errors:0 dropped:0 overruns:0 frame:0
          TX packets:44900 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:58922292 (58.9 MB)  TX bytes:6545939 (6.5 MB)
          Interrupt:5 Base address:0xd000

lo        Link encap:Локальная петля (Loopback)
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:61 errors:0 dropped:0 overruns:0 frame:0
          TX packets:61 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:5288 (5.2 KB)  TX bytes:5288 (5.2 KB)

tap0      Link encap:Ethernet  HWaddr 76:3b:15:e4:95:82
          inet addr:10.8.0.1  Bcast:10.8.0.255  Mask:255.255.255.0
          inet6 addr: fe80::743b:15ff:fee4:9582/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:66 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:8865 (8.8 KB)  TX bytes:742 (742.0 B)

iptables -L -n -v

(Нажмите, чтобы показать/скрыть)

Chain INPUT (policy ACCEPT 3347 packets, 274K bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     tcp  --  tun0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
  105  9681 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:1194

Chain FORWARD (policy ACCEPT 3 packets, 180 bytes)
 pkts bytes target     prot opt in     out     source               destination
    4   240 ACCEPT     all  --  tap0   eth0    0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  eth0   tap0    0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 2472 packets, 507K bytes)
 pkts bytes target     prot opt in     out     source               destination

route -n

(Нажмите, чтобы показать/скрыть)

Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
xx.xx.xx.xx  0.0.0.0         255.255.255.192 U     0      0        0 eth1
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tap0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         xx.xx.xx.xx 0.0.0.0         UG    100    0        0 eth1

Вобщем необходимо заходить на терминал сервер, который находится в подсети (192.168.0.0) за сервером, пользоваться smb шарами и принтерами.

Кстати с клиента пингуется  сервер по его ip 192.168.0.201 локальной сети, а вот другие компы нет.

[fisher74]

На терминальном сервере или любой машине из 192.168.0.0/24, к ресурсам которой нужен доступ, покажите маршруты

[mr_necromancer]

 route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 eth0

[fisher74]

Тогда оно понятно. Решения вижу 3
1. На всех нужных машинах из сети 192.168.0.0/24 добавляем маршруты

Код: [Выделить]

sudo route add -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.0.2012. На маршрутизаторе 192.168.0.1 добавляем маршрут описанный в пункте 1
3. На сервере OpenVPN маскарадим пакеты из VPN-сети

Код: [Выделить]

sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -i tap0 -d eth0 -j SNAT --to-source 192.168.0.201
Я бы выбрал пункт 2.

[mr_necromancer]

спасибо, выбрал 3-й вариант, всё робит, только комманду видоизменил :
iptables -t nat -A POSTROUTING -s 10.8.0.0/24  -d 192.168.0.0/24 -j SNAT --to-source 192.168.0.201

хмм, только не савсем ясно представляю что она делает.... надо почитать про маскарадинг.

[fisher74]

А, сорри, опечатался..

sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -i tap0 -d -o eth0 -j SNAT --to-source 192.168.0.201