Клиенты openVPN не видят друг-друга

[Steklorez]

Добрый день, подскажите, почему клиенты openVPN не видят друг друга.
С сетями ни в ладах, как и с linux системами, поэтому прошу помощи.
Имеются сети:

• Сервер Ubuntu 192.168.20.101 (Сеть1 работа)
  
• Клиент1 Ubuntu 192.168.20.102 (Сеть1 работа)
  
• Клиент2 Win 192.168.20.103 (Сеть1 работа)
  
• Клиент3 Win 192.168.1.10 (Сеть2 где-то далеко дома)
  

На сервере стоит openVPN. Интерфейс поднят tun0 с адресом 10.8.0.1.
Клиенты целятюся и получают адреса вида 10.8.0.ххх.
Нужно, чтобы эти клиенты имели друг к дургу полный доступ внутри сети 10.8.0.ххх. по полученным адресам вида 10.8.0.ххх. Лезть в сеть 192.168.20.ххх не нужно вовсе.
Win клиенты - пингуют сервер, Ubuntu клиент - нет, друг-друга тоже не видят. Сервер не пингует никого.

Возможно нужно прописать какое-то правило в iptables сервера. В общем есть мысли?
Или это уже делается через TAP-интерфейс, который в отличие от туннеля TUN будет эмулировать виртуальную сетевую карту?
Доступ в сеть eth0 не нужен. Нужно, чтобы видели друг-друга только клиенты tun0.
Это тестовый сервер, а рабочий VPNсервер пока настроил, что пускает клиентов в сеть 192.168.20.xxx и те получают доступ.
Заранее спасибо.

Конфиги:
Сервер

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

port 7777
proto tcp
dev tun

ca ca.crt
cert server.crt
key server.key
dh dh2048.pem

server 10.8.0.0 255.255.255.0
route 10.8.0.0 255.255.255.0   
ifconfig-pool-persist ipp.txt
client-to-client

keepalive 10 120
tls-auth ta.key 0 # This file is secret
cipher DES-EDE3-CBC  # Triple-DES
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3

Клиент (в локалке)

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

client
dev tap
proto tcp
remote 192.168.20.101 7777

resolv-retry infinite
nobind
persist-key
persist-tun

ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
dh /etc/openvpn/dh2048.pem

ns-cert-type server
tls-auth /etc/openvpn/ta.key 1
cipher DES-EDE3-CBC
comp-lzo
verb 3
;mute 20


[MooSE]

А какие именно адреса вы пингуете? 10.8.0.xxx? И включена ли на сервере опция client-to-client?

[fisher74]

client-to-client судя по конфигу включен.
Было бы неплохо ещё правила netfilter посмотреть

[AnrDaemon]

И
sysctl net.ipv4.ip_forward
тоже.

[fisher74]

Угу, вечно я про него забываю у вопрошающих спросить

[Steklorez]

Проблему решил, но отвечу на вопросы сразу, заодно подкорректировал сам вопрос в шапке.

Сервер:
iptables -L

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

sysctl net.ipv4.ip_forward

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

net.ipv4.ip_forward = 1


Решено.
Опишу как, может кому-то в будущем поможет.
Проблема была в том, что я пытался с помощью openVPN создать туннель (с адресами, выдаваемыми клиентам 10.8.0.ххх) на себя же 10.8.0.1.
А нужно просто создать новую сетку с помощью openVPN с адресами 10.8.0.ххх. Туннелировать ничего не нужно. Теперь клиенты цепляются и работают друг с другом как полноправные члены новой сети (10.8.0.ххх).

Как:
Переведя сервер и клиентов из режима туннеля (tun) в сетевой адаптер(tap), сервер (10.8.0.1) стал пинговать клиентов (10.8.0.ххх).

Код: [Выделить]

;dev tun
dev tap
Добавил серверу

Код: [Выделить]

push "route 10.8.0.0 255.255.255.0"
;route 10.8.0.0 255.255.255.0
Клиенты стали видеть друг-друга, а сервер их.
А большего и не требуется.

Благодарю за реагирование, проблема решена своими силами.

[fisher74]

Не спортивно )))
Но при такой задаче организации связи, tap, безусловно, правильное решение.

[CALL|KA]

Какая разница между tap и tun устройствами? Для каких целей используется каждое из них?

[bukass]

CALL|KA,
Разница