Настройка маршрутизации для openvpn.

[thunderamur]

[openvpn-server 1]-[сеть 1]-[роутер-шлюз] - [Инет] - [роутер-шлюз]-[сеть 2]-[openvpn-client 2]

Задача сделать доступной сеть 2 из сети 1. А также некоторые узлы из сети 1 в сети 2.

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

client
proto udp
dev tun

remote XX.XX.XX.XX
port XXXX

resolv-retry infinite

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/svobodnyi.crt
key /etc/openvpn/keys/svobodnyi.key

tls-client
tls-auth /etc/openvpn/keys/ta.key 1
auth MD5
cipher BF-CBC

ns-cert-type server
comp-lzo
persist-key
persist-tun

status openvpn-status.log
log /var/log/openvpn.log
verb 3
mute 20


(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

port ХХХХ
proto udp
dev tun

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key  # This file should be kept secret
dh /etc/openvpn/keys/dh1024.pem

server 10.8.0.0 255.255.255.0

client-config-dir ccd

tls-server
tls-auth keys/ta.key 0
tls-timeout 120
auth MD5
cipher BF-CBC

#;client-to-client

keepalive 10 120

comp-lzo

max-clients 20

user nobody
group nogroup

persist-key
persist-tun

status openvpn-status.log
log /var/log/openvpn.log
verb 3
mute 20


(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

ifconfig-push 10.8.0.38 10.8.0.37

route 192.168.9.0 255.255.255.0

push "route 192.168.1.42 255.255.255.255"
push "route 192.168.1.46 255.255.255.255"
push "route 192.168.1.71 255.255.255.255"


Соединение по 10.8.0.0 есть, вопрос про 192.168.1.0 и 192.168.9.0

[rayanAyar]

(Нажмите, чтобы показать/скрыть)

О, ну наконец-то. Это ведь продолжение https://forum.ubuntu.ru/index.php?topic=212387.0 ?
Вот и появилась стопицотая тема по вопросу "VPN-(сервер|клиент) за роутером..."

Вы ведь собирались делать

для устройств, которым нужна и ВПН и Инет сделать статическую маршрутизацию.

Этот вариант уже не подходит?

[thunderamur]

rayanAyar,
Да я так и собираюсь делать, опыта мало в этом вопросе. Потому и прошу ткнуть меня в место, где я не туда пошел.

И я уже там ответил, что нужно сделать именно так, такая ситуация.

[fisher74]

Так-то вроде оно всё правильно. Неплохо бы теперь посмотреть результаты соединения

P.S. про ip_forward не забыли на обоих участниках vpn-сети?

[thunderamur]

fisher74,
что, куда нужно перенаправлять?
Пользователь решил продолжить мысль 05 Февраля 2013, 10:21:03:В общем соединение есть, значит нужно самому хорошо подумать и выстроить маршруты, жаль не силен в этом.

[fisher74]

ничего никуда перенаправлять не надо. Просто включить forward пакетов. Если конечно в таблесах ещё ничего не запрещали.

[rayanAyar]

Маршруты на клиентах прописаны?

Вот это нужно не в ccd, а в server.conf

Код: [Выделить]

route 192.168.9.0 255.255.255.0
А в ccd нужно

Код: [Выделить]

iroute 192.168.9.0 255.255.255.0

[djrust]

tracert тоже не плохо было бы увидеть...может где затыкается
ping(И) там и все такое....у меня бывало и антивирус блочил(который с фаерволом)

[thunderamur]

fisher74,
Спасибо, не хватало именно этого.

rayanAyar,
И тебе спасибо, я почему-то решил, что это тоже можно засунуть в ccd, чтобы для каждого клиента отдельный маршрут создавать при подключении.


Все пинги идут и туда и сюда по локальным адресам, осталось только статические маршруты на компах прописать и всё, телефоны, у которых шлюзом указан впн-клиент все норм.

Пойду домой, завтра уже этим займусь, у нас уже 19.17.

[rayanAyar]

Ещё замечание по поводу маршрутов. Два варианта:
1. (Простой, но не красивый) Статические маршруты на клиентах. Ручками на каждом.
2. (По сложнее, зато красиво и гибко) Выдавать дополнительный маршрут от dhcp-сервера.

[fisher74]

Красивее на шлюзе сделать нужный маршрут

[thunderamur]

rayanAyar,
1. Мой вариант по 2-м причинам, не везде роутеры умеют маршрутизировать WAN. Клиентов в филиалах по 2-3 штуки. Телефоны будут просто использовать впн-клиента в качестве шлюза и всё.
2. Думаю это лишнее для 2-3 клиентов.

fisher74,
п.1.