Маршрутизация на OpenVPN клиенте

[Ignatik]

Добрый!

Прошу совета у форумчан.

Есть сеть (Рис1.pdf)

ПК VPN Client (Ubuntu 20.04.1) - поднял для тестов. Установил чистую систему, накатил туда OpenVPN + net-tools и traceroute. Настроил подключение к VPN Server. Туннель поднялся:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

enp0s3: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.250.57  netmask 255.255.255.0  broadcast 192.168.250.255
        inet6 fe80::a00:27ff:fee1:769b  prefixlen 64  scopeid 0x20<link>
        ether 08:00:27:e1:76:9b  txqueuelen 1000  (Ethernet)
        RX packets 192402  bytes 126852755 (126.8 MB)
        RX errors 0  dropped 10666  overruns 0  frame 0
        TX packets 164997  bytes 34638975 (34.6 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 428  bytes 37563 (37.5 KB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 428  bytes 37563 (37.5 KB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

tap1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.8.2.250  netmask 255.255.255.0  broadcast 10.8.2.255
        inet6 fe80::dc6a:acff:fed9:7528  prefixlen 64  scopeid 0x20<link>
        ether de:6a:ac:d9:75:28  txqueuelen 100  (Ethernet)
        RX packets 10231  bytes 1222962 (1.2 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 150  bytes 13452 (13.4 KB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0


Для подсетей 10.8.2.0/24 и 192.168.64.0/22 маршруты подтянулись по OSPF:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

default via 192.168.250.101 dev enp0s3 proto static
10.8.2.0/24 dev tap1 proto kernel scope link src 10.8.2.250
192.168.64.0/22 via 10.8.2.64 dev tap1 metric 20
192.168.250.0/24 dev enp0s3 proto kernel scope link src 192.168.250.57


C VPN Client пингуется и 10.8.2.64 и сеть 192.168.64.0
Если задать ping 192.168.64.253 -I 192.168.250.57,то тоже работает

Пытаюсь с PC (Windows) пинговать 10.8.2.64 и 192.168.64.253
Пинги не проходят.
Перед этим добавил на PC маршруты руками:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0  192.168.250.101   192.168.250.77     50
         10.8.2.0    255.255.255.0   192.168.250.57   192.168.250.77     51
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
     192.168.64.0    255.255.255.0   192.168.250.57   192.168.250.77     51
    192.168.250.0    255.255.255.0         On-link    192.168.250.77    306
   192.168.250.77  255.255.255.255         On-link    192.168.250.77    306
  192.168.250.255  255.255.255.255         On-link    192.168.250.77    306
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link    192.168.250.77    306
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link    192.168.250.77    306


Запускал tcpdump -i tap1 на VPN Client и одновременно пинговал с PC. Активности нет.

VPN Server - к этому ПК у меня нет доступа, им управляют другие люди.

Что-то я видимо упустил или не до конца понимаю. Если есть мысли, поделитесь пожалуйста ))

[Ser_W]

На маршрутизаторе не вариант подключиться? Если Кинетик / Микротик, дак вообще песня )

[Ignatik]

На маршрутизаторе не вариант подключиться? Если Кинетик / Микротик, дак вообще песня )

Не совсем понял, что значит на маршрутизаторе подключиться?!

1. OpenVPN там поднять?
2. Или использовать машрутизацию через Кинетик / Микротик?

[Ser_W]

Кинетик / Микротик умеют быть и клиентом, и сервером OpenVPN. Вроде бы, не путаю ничего.

[AlexDem]

OpenVPN там поднять?

Товарищ очевидно имеет ввиду поднять на Микротике OpenVPN клиента, и тогда все управление доступом к соответствующим клиентам внутренней сети 192.168.64.0/22 через VPN сводится к настройке NAT на микротике.

[Ignatik]

Один из шлюзов в сети, как раз Mikrotik.
Попробую поднять на нём (в нашем случае tcp).
Пользователь добавил сообщение 03 Февраля 2021, 11:17:18:Почитал ограничения по OpenVPN на mikrotik.

Currently unsupported OpenVPN features:

UDP mode
LZO compression
TLS authentication
authentication without username/password

В моём случае используется сжатие, TLS и аутентификация без логина и пароля.

[EvangelionDeath]

Вас это вообще не смущает? Типа того, что шлюз не входит в подсеть, если глянуть на маску?

Код: [Выделить]

10.8.2.0    255.255.255.0   192.168.250.57   192.168.250.77     51
192.168.64.0    255.255.255.0   192.168.250.57   192.168.250.77     51
Вот и мне интересно, как же 10.8.2.0 добереться к 192.168.250.57, если оно ограничено 10.8.2.1-255 ? Та же ситуация и со вторым маршрутом

[Ignatik]

Эти маршруты я прописал руками на PC (192.168.250.77) для того, чтобы он понимал через какой ПК доступна сеть 10.8.2.0 и 192.168.64.0
А на VPN Client (192.168.250.57) в таблице маршрутизации есть ифнормация по маршрутам 10.8.2.0, 192.168.64.0 и локальной сети 192.168.250.0

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         192.168.250.101 0.0.0.0         UG        0 0          0 enp0s3
10.8.2.0        0.0.0.0         255.255.255.0   U         0 0          0 tap1
192.168.64.0    10.8.2.64       255.255.252.0   UG        0 0          0 tap1
192.168.250.0   0.0.0.0         255.255.255.0   U         0 0          0 enp0s3


Пользователь добавил сообщение 03 Февраля 2021, 12:01:46:C PC адрес 10.8.2.250 пингуется

[Ignatik]

Добрый!

Вопрос решил.
net.ipv4.ip_forward = 1 на VPN клиенте