Помогите с OpenVPN

[xiandar]

Имеется 3 точки.
1) Сервер с IP XX к которому подключаются клиенты
2) Клиент с IP YY и локальной сетью
3) Клиент с IP ZZ и локальной сетью

Сервер пингует айпи YY и ZZ без проблем, но не видит локальных айпи клиентов.
Клиенты видят IP XX и локальные у сервера ,но локальные компы клиентов не видят сеть XX и сервер.

Предполагаю что где-то не дописаны маршруты но не пойму где и какие ?

[AnrDaemon]

Нет, я понимаю, что вы не понимаете, только как мы то должны понять, что отвечать?
Хотя бы стандартную диагностику показывайте.
ip a; ip r; iptables-save

[xiandar]

Код: [Выделить]

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 00:e0:53:12:9b:39 brd ff:ff:ff:ff:ff:ff
    inet 192.168.10.250/24 brd 192.168.10.255 scope global eth0
    inet6 fe80::2e0:53ff:fe12:9b39/64 scope link
       valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 00:04:61:94:74:67 brd ff:ff:ff:ff:ff:ff
    inet 10.174.92.152/22 brd 10.174.95.255 scope global eth1
    inet6 fe80::204:61ff:fe94:7467/64 scope link
       valid_lft forever preferred_lft forever
7: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1492 qdisc pfifo_fast state UNKNOWN qlen 3
    link/ppp
    inet XX.XX.XX.XX peer YY.YY.YY.YY/32 scope global ppp0
10: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/none
    inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
default dev ppp0  scope link
10.8.0.0/24 via 10.8.0.2 dev tun0
10.8.0.2 dev tun0  proto kernel  scope link  src 10.8.0.1
10.174.92.0/22 dev eth1  proto kernel  scope link  src 10.174.92.152
YY.YY.YY.YY dev ppp0  proto kernel  scope link  src XX.XX.XX.XX
192.168.10.0/24 dev eth0  proto kernel  scope link  src 192.168.10.250
# Generated by iptables-save v1.4.12 on Tue Oct  1 22:26:46 2013
*filter
:INPUT ACCEPT [736183:564753356]
:FORWARD ACCEPT [38537:2502314]
:OUTPUT ACCEPT [731626:565641639]
-A FORWARD -i tun0 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Tue Oct  1 22:26:46 2013
# Generated by iptables-save v1.4.12 on Tue Oct  1 22:26:46 2013
*nat
:PREROUTING ACCEPT [21722:1188485]
:INPUT ACCEPT [11660:640727]
:OUTPUT ACCEPT [10150:610172]
:POSTROUTING ACCEPT [16786:1025332]
-A POSTROUTING -s 192.168.10.5/32 -o ppp0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o tun0 -j MASQUERADE
COMMIT
# Completed on Tue Oct  1 22:26:46 2013
# Generated by iptables-save v1.4.12 on Tue Oct  1 22:26:46 2013
*mangle
:PREROUTING ACCEPT [5779560:3757169354]
:INPUT ACCEPT [5266381:3719317414]
:FORWARD ACCEPT [459853:35893346]
:OUTPUT ACCEPT [5076142:3714196698]
:POSTROUTING ACCEPT [5535995:3750090044]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Tue Oct  1 22:26:46 2013
При добавлении листингов, пользуйтесь, пожалуйста тэгом КОД, кнопка с решеткой над окном редактирования.

--Сперанский

[ArcFi]

Как минимум, добавить в конфиг сервера маршруты до сетей клиентов.

Изучайте:
http://openvpn.net/index.php/open-source/documentation/howto.html#scope

[xiandar]

Поконкретней бы , какие куда и через что.

[ArcFi]

Предположительно, вверху вы выложили диагностику с сервера.
Чтобы было конкретнее, показываете диагностику с клиентов.

[xiandar]

Код: [Выделить]

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: p3p1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether bc:5f:f4:bd:e0:72 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.32/24 brd 192.168.0.255 scope global p3p1
    inet6 fe80::be5f:f4ff:febd:e072/64 scope link
       valid_lft forever preferred_lft forever
3: p5p1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
    link/ether f8:1a:67:03:64:f2 brd ff:ff:ff:ff:ff:ff
4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/none
    inet 10.8.0.6 peer 10.8.0.5/32 scope global tun0
default via 192.168.0.1 dev p3p1
10.8.0.0/24 via 10.8.0.5 dev tun0
10.8.0.5 dev tun0  proto kernel  scope link  src 10.8.0.6
192.168.0.0/24 dev p3p1  proto kernel  scope link  src 192.168.0.32
192.168.10.0/24 via 10.8.0.5 dev tun0

[ArcFi]

В конфиг сервера добавить:

Код: [Выделить]

route 192.168.0.0 255.255.255.0
***

-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o tun0 -j MASQUERADE

А это для каких целей?

[xiandar]

route не помог.

Код: [Выделить]

-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o tun0 -j MASQUERADEПосле этого клиенты стали пинговать сеть за сервером.

[AnrDaemon]

Неудивительно... Убирайте эту порнографию.

[xiandar]

Код: [Выделить]

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 00:e0:53:12:9b:39 brd ff:ff:ff:ff:ff:ff
    inet 192.168.10.250/24 brd 192.168.10.255 scope global eth0
    inet6 fe80::2e0:53ff:fe12:9b39/64 scope link
       valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 00:04:61:94:74:67 brd ff:ff:ff:ff:ff:ff
    inet 10.174.92.152/22 brd 10.174.95.255 scope global eth1
    inet6 fe80::204:61ff:fe94:7467/64 scope link
       valid_lft forever preferred_lft forever
4: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1492 qdisc pfifo_fast state UNKNOWN qlen 3
    link/ppp
    inet XX.XX.XX.XX peer YY.YY.YY.YY/32 scope global ppp0
5: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/none
    inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
default dev ppp0  scope link
10.8.0.0/24 via 10.8.0.2 dev tun0
10.8.0.2 dev tun0  proto kernel  scope link  src 10.8.0.1
10.174.92.0/22 dev eth1  proto kernel  scope link  src 10.174.92.152
YY.YY.YY.YY dev ppp0  proto kernel  scope link  src XX.XX.XX.XX
192.168.0.0/24 via 10.8.0.2 dev tun0
192.168.10.0/24 dev eth0  proto kernel  scope link  src 192.168.10.250
# Generated by iptables-save v1.4.12 on Wed Oct  2 08:34:24 2013
*filter
:INPUT ACCEPT [365:62452]
:FORWARD ACCEPT [62:4107]
:OUTPUT ACCEPT [371:65375]
-A FORWARD -i tun0 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Wed Oct  2 08:34:24 2013
# Generated by iptables-save v1.4.12 on Wed Oct  2 08:34:24 2013
*nat
:PREROUTING ACCEPT [80:5048]
:INPUT ACCEPT [24:2295]
:OUTPUT ACCEPT [33:3458]
:POSTROUTING ACCEPT [62:5359]
-A POSTROUTING -s 192.168.10.5/32 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Wed Oct  2 08:34:24 2013
# Generated by iptables-save v1.4.12 on Wed Oct  2 08:34:24 2013
*mangle
:PREROUTING ACCEPT [3234:376213]
:INPUT ACCEPT [2725:347311]
:FORWARD ACCEPT [453:27062]
:OUTPUT ACCEPT [2620:398704]
:POSTROUTING ACCEPT [3073:425766]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Wed Oct  2 08:34:24 2013
Теперь клиенты не видят сеть за сервером

[AnrDaemon]

tracepath показывайте. Чего они там у вас не видят.

[xiandar]

С линукса

Код: [Выделить]

root@ServerVPN:~# tracepath 192.168.0.17
 1:  10.8.0.1                                              0.182ms pmtu 1500
 1:  no reply
 2:  no reply
 3:  no reply
 4:  no reply
С винды

Код: [Выделить]

C:\Users\user>tracert 192.168.10.1

Трассировка маршрута к 192.168.10.1 с максимальным числом прыжков 30

  1   176 ms   175 ms   175 ms  10.8.0.1
  2     *        *        *     Превышен интервал ожидания для запроса.
  3     *        *        *     Превышен интервал ожидания для запроса.
  4     *        *        *     Превышен интервал ожидания для запроса.
  5     *        *        *     Превышен интервал ожидания для запроса.
  6     *        *        *     Превышен интервал ожидания для запроса.
  7     *        *        *     Превышен интервал ожидания для запроса.

[AnrDaemon]

т.е. сеть у вас
192.168.10.0/24 - 192.168.10.250 // 10.8.0.1 - 10.8.0.2 // ? - 192.168.0.0/24
?
Давайте по очереди проверять.
Сервер друг друга пингуют?
Сервер сеть за другим сервером пингует? Клиенты противоположный сервер пингуют?
Показывайте маршруты с каждого клиента и с обоих серверов.
И "ip a" с сервера в 192.168.0.0 покажите.

[xiandar]

Server
Local 192.168.10.1-250
VPN 10.8.0.1
Client
Local 192.168.0.1-250
VPN 10.8.0.10

Сервер и клиент друг друга пингуют по VPN IP.
Клиент может пинговать локальный айпи сервера 192.168.10.250 дальше в сеть пинг не идет.
Сервер может пинговать только VPN IP клиент 10.8.0.10 дальше пинг не идет.

Когда прописываешь на сервере

Код: [Выделить]

-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o tun0 -j MASQUERADEТо клиент видит всю сеть за сервером.
Сервер дальше VPN IP клиента не видит
И вопрос не в тему, если прописать на клиенте теже построуты будет ли такой же результат как на сервере(в данный момент к клиенту нет доступа сижу с виндовой машины)