openVPN что-то не получается допилить

[polonoid]

не пинайте сильно ногами я еще учусь 
установил openVPN:

(Нажмите, чтобы показать/скрыть)

# порт
port 443
# протокол
proto tcp
dev tun
# пути к ключам и сертификатам
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
# подсеть для сети openvpn
server 10.10.10.0 255.255.255.0
# содержит информацию о ip адресах клиентов
# файл необходимо создать вручную
ifconfig-pool-persist ipp.txt
# передача клиенту информацию о домашней сети, то что за сервером
push "route 10.20.0.0 255.255.255.0"
# передача dns клиенту
push "dhcp-option DNS 10.20.0.1"
# интервал пинга хоста 10 сек, если не отвечает
# 120 сек то считать недоступным
keepalive 10 120
# сжатие лучше убрать
# comp-lzo
# понижение привилегий сервера до указанных
user nobody
group nogroup
persist-key
persist-tun
# уровень информативности логов
verb 4
mute 20
# разрешить клиентам видеть друг друга
client-to-client
# конфиги клиентов
client-config-dir /etc/openvpn/ccd
# маршурт что бы с компьютеров из сети за сервером
# был доступ к клиентам
route 10.10.10.0 255.255.255.0

windows клиент цепляется к серверу нормально, но дальше ничего не видит

[tagilchanin]

Насколько я помню для TCP нужно создавать интрефейс tap, порт 443 я бы убрал, он используется другой программой

[djrust]

описывайте сеть за openvpn

[polonoid]

описывайте сеть за openvpn

струтура:
провайдер-роутер-клиенты
в том числе один из клиентов openvpn (по сути файлопомойка)

так вот необходимо из интернета подключаться к этому файлсерверу

[fisher74]

Насколько я помню для TCP нужно создавать интрефейс tap

Вы не правильно помните.

, порт 443 я бы убрал, он используется другой программой

ТС не Вы и выбор за ним, что держать на 443 порту.

polonoid
А клиент, по Вашему конфигу сервера ничего дальше сервера и не должен увидеть.
Мало того, чтобы клиент шёл дальше нужно, как минимум, разрешить форвардинг и убедиться в наличии разрешающих правил для пропуска транзитного траффика данной категории клиентов.

[polonoid]

Насколько я помню для TCP нужно создавать интрефейс tap

Вы не правильно помните.

, порт 443 я бы убрал, он используется другой программой

ТС не Вы и выбор за ним, что держать на 443 порту.

polonoid
А клиент, по Вашему конфигу сервера ничего дальше сервера и не должен увидеть.
Мало того, чтобы клиент шёл дальше нужно, как минимум, разрешить форвардинг и убедиться в наличии разрешающих правил для пропуска транзитного траффика данной категории клиентов.

поконкретнее пожалуйста что необходимо для дого чтобы пустить клиента дальше...

[fisher74]

Я в последнем предложении  конкретно сказал, что надо сделать.

как минимум, разрешить форвардинг и убедиться в наличии разрешающих правил для пропуска транзитного траффика данной категории клиентов.

[polonoid]

Я в последнем предложении  конкретно сказал, что надо сделать.

как минимум, разрешить форвардинг и убедиться в наличии разрешающих правил для пропуска транзитного траффика данной категории клиентов.

в iptables?

[ArcFi]

Насколько я помню для TCP нужно создавать интрефейс tap

Нет, не надо путать транспортный уровень с канальным.

в iptables?

sysctl, iptables
См. в шапке раздела прикреплённый сабж по расшариванию инета.

[tagilchanin]

Насколько я помню для TCP нужно создавать интрефейс tap

Нет, не надо путать транспортный уровень с канальным.
[/quote]
Виноват. Почитал  доки, действительно заблуждался.

[polonoid]

Я в последнем предложении  конкретно сказал, что надо сделать.

как минимум, разрешить форвардинг и убедиться в наличии разрешающих правил для пропуска транзитного траффика данной категории клиентов.

форвардинг разрешил
не могу понять
есть:

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 48:5b:39:cb:e7:65 
          inet addr:192.168.1.9  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::4a5b:39ff:fecb:e765/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4107291 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6178415 errors:0 dropped:0 overruns:0 carrier:1
          collisions:0 txqueuelen:1000
          RX bytes:953869582 (953.8 MB)  TX bytes:6700803960 (6.7 GB)

lo        Link encap:Локальная петля (Loopback) 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:2800521 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2800521 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:997072427 (997.0 MB)  TX bytes:997072427 (997.0 MB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          inet addr:10.10.0.1  P-t-P:10.10.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:644 errors:0 dropped:0 overruns:0 frame:0
          TX packets:167 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100

          RX bytes:61340 (61.3 KB)  TX bytes:105750 (105.7 KB)
в iptables в какой секции и что прописать чтобы пакеты пропускались
вот мой дефолтный:

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.12 on Fri Sep 13 15:56:20 2013
*nat
:PREROUTING ACCEPT [2433:174056]
:INPUT ACCEPT [351:50752]
:OUTPUT ACCEPT [291:21683]
:POSTROUTING ACCEPT [291:21683]
COMMIT
# Completed on Fri Sep 13 15:56:20 2013
# Generated by iptables-save v1.4.12 on Fri Sep 13 15:56:20 2013
*mangle
:PREROUTING ACCEPT [112928:20402945]
:INPUT ACCEPT [110846:20279641]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [115344:29296251]
:POSTROUTING ACCEPT [115425:29310456]
COMMIT
# Completed on Fri Sep 13 15:56:20 2013
# Generated by iptables-save v1.4.12 on Fri Sep 13 15:56:20 2013
*filter
:INPUT ACCEPT [5715133:1603003261]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4480953:6753897508]
COMMIT
# Completed on Fri Sep 13 15:56:20 2013

я как понял в Filter FORWARD перебрасывать с tun0 на eth0

(Нажмите, чтобы показать/скрыть)

# openvpn
-A FORWARD -p tcp -m tcp -m state -i tun0 -o eth0 --state NEW -j ACCEPT
COMMIT

[ArcFi]

polonoid,

Код: [Выделить]

ip r?

[polonoid]

polonoid,

Код: [Выделить]

ip r?

Код: [Выделить]

default via 192.168.1.1 dev eth0  proto static
10.10.0.0/24 via 10.10.0.2 dev tun0
10.10.0.2 dev tun0  proto kernel  scope link  src 10.10.0.1
169.254.0.0/16 dev eth0  scope link  metric 1000
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.9  metric 1

[ArcFi]

Убедитесь, что на клиентах сети 192.168.1.0/24 есть маршрут до 10.10.0.0/24.
И аналогично в обратную сторону.

[polonoid]

Убедитесь, что на клиентах сети 192.168.1.0/24 есть маршрут до 10.10.0.0/24.
И аналогично в обратную сторону.

простите недопонял как?