Почему пропадает интернет при подключениие к OpenVPN?

Question

[Олег Париев]

Настроил OpenVPN как в этом видео. Также на сервере прописал push "redirect-gateway def1 bypass-dhcp" для смены ip-адреса в клиенте на сервер, но ничего не выходит...

Если конкретней, то у меня на клиенте просто пропал интернет и всё. Как можно это исправить?

Сервер:

dev-node "ServerVPN"
mode server
port 12345 

proto tcp4-server
dev tun

tls-server
tls-auth "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ta.key" 0

tun-mtu 1500
tun-mtu-extra 32
mssfix 1450

ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ServerVPN.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ServerVPN.key"
dh "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\dh2048.pem"

server 10.10.10.0 255.255.255.0

client-to-client
keepalive 10 120
cipher AES-128-CBC
comp-lzo

persist-key
persist-tun

client-config-dir "C:\\Program Files\\OpenVPN\\config"

verb 3

route-delay 5
route-method exe

push "route 192.168.0.0 255.255.255.0"
push "redirect-gateway def1 bypass-dhcp"
route 192.168.182.0 255.255.255.0

Клиент:

remote 192.168.1.1 ip для примера
client
port 12345

proto tcp4-client
dev tun

tls-client
tls-auth "C:\\Program Files\\OpenVPN\\config\\ta.key" 1
remote-cert-tls server

tun-mtu 1500
tun-mtu-extra 32
mssfix 1450

ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\ClientVPN.crt"
key "C:\\Program Files\\OpenVPN\\config\\ClientVPN.key"

cipher AES-128-CBC
comp-lzo

persist-key
persist-tun

verb 3
mute 20

Route print:

После подключения:

===========================================================================
Список интерфейсов
15...00 ff cb c6 07 3a ......TAP-Windows Adapter V9
14...d8 f2 ca c4 2e 9a ......Microsoft Wi-Fi Direct Virtual Adapter
2...da f2 ca c4 2e 99 ......Microsoft Wi-Fi Direct Virtual Adapter #2
10...d8 f2 ca c4 2e 99 ......Intel(R) Wireless-AC 9560 160MHz
18...d8 f2 ca c4 2e 9d ......Bluetooth Device (Personal Area Network)
1...........................Software Loopback Interface 1
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес     Маска сети            Адрес шлюза      Интерфейс      Метрика
0.0.0.0                  0.0.0.0                    192.168.1.1         192.168.1.122  35
0.0.0.0                  128.0.0.0                10.10.10.5           10.10.10.6        281
10.10.10.0            255.255.255.0        10.10.10.5           10.10.10.6        281
10.10.10.4            255.255.255.252    On-link                10.10.10.6        281
10.10.10.6            255.255.255.255    On-link                10.10.10.6        281
10.10.10.7            255.255.255.255    On-link                10.10.10.6        281
127.0.0.0              255.0.0.0                 On-link                127.0.0.1          331
127.0.0.1              255.255.255.255     On-link                127.0.0.1          331
127.255.255.255  255.255.255.255     On-link                127.0.0.1          331
128.0.0.0              128.0.0.0                 10.10.10.5           10.10.10.6        281
178.44.196.105    255.255.255.255     192.168.1.1         192.168.1.122 291
192.168.0.0          255.255.255.0         10.10.10.5           10.10.10.6        281
192.168.1.0          255.255.255.0         On-link                192.168.1.122   291
192.168.1.122      255.255.255.255     On-link                192.168.1.122   291
192.168.1.255      255.255.255.255     On-link                192.168.1.122   291
224.0.0.0              240.0.0.0                 On-link                 127.0.0.1           331
224.0.0.0              240.0.0.0                 On-link                 10.10.10.6         281
224.0.0.0              240.0.0.0                 On-link                 192.168.1.122   291
255.255.255.255 255.255.255.255     On-link                  127.0.0.1           331
255.255.255.255 255.255.255.255      On-link                 10.10.10.6        281
255.255.255.255 255.255.255.255      On-link                 192.168.1.122  291
===========================================================================
Постоянные маршруты:
Отсутствует

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика Сетевой адрес Шлюз
1 331 ::1/128 On-link
15 281 fe80::/64 On-link
10 291 fe80::/64 On-link
15 281 fe80::5105:7c9d:a5c0:c8dc/128
On-link
10 291 fe80::e1e3:a6c6:ab15:60c8/128
On-link
1 331 ff00::/8 On-link
15 281 ff00::/8 On-link
10 291 ff00::/8 On-link
===========================================================================
Постоянные маршруты:
Отсутствует

До подключения:

===========================================================================
Список интерфейсов
15...00 ff cb c6 07 3a ......TAP-Windows Adapter V9
14...d8 f2 ca c4 2e 9a ......Microsoft Wi-Fi Direct Virtual Adapter
2...da f2 ca c4 2e 99 ......Microsoft Wi-Fi Direct Virtual Adapter #2
10...d8 f2 ca c4 2e 99 ......Intel(R) Wireless-AC 9560 160MHz
18...d8 f2 ca c4 2e 9d ......Bluetooth Device (Personal Area Network)
1...........................Software Loopback Interface 1
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.122 35
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.1.0 255.255.255.0 On-link 192.168.1.122 291
192.168.1.122 255.255.255.255 On-link 192.168.1.122 291
192.168.1.255 255.255.255.255 On-link 192.168.1.122 291
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.1.122 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.1.122 291
===========================================================================
Постоянные маршруты:
Отсутствует

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика Сетевой адрес Шлюз
1 331 ::1/128 On-link
10 291 fe80::/64 On-link
10 291 fe80::e1e3:a6c6:ab15:60c8/128
On-link
1 331 ff00::/8 On-link
10 291 ff00::/8 On-link
===========================================================================
Постоянные маршруты:
Отсутствует

Comments

[Дмитрий Шицков]

Сервер на Windows?

[Олег Париев]

Дмитрий Шицков, да. Клиент тоже. Оба на десятке

[Дмитрий Шицков]

Просто как вариант - можно использовать этот VPN сервер (и клиент, при желании) https://www.softether.org/
Функционал NAT можно будет в таком случае использовать на самом сервере VPN. Возможно, упростит в целом конфигурацию.

Answer 1

[res2001]

Типичная ошибка. ВПН сервер прописал себя маршрутом по умолчанию для клиента. И теперь все пакеты в интернет идут на ВПН сервер.
В этом виновата опция
push "redirect-gateway def1 bypass-dhcp"
Она делает не то, что вы думаете.
Просто закоментируйте эту опцию и перезагрузите сервер.

Comments

[Олег Париев]

Хорошо, но как мне все пакеты тогда через сервер пропускать? Чтобы на сайтах для просмотра внешнего ip отображался адрес сервака?

[res2001]

Олег Париев, Ну вы ставьте задачу более конкретно. ВПН можно использовать для разных целей.
Вам нужно, чтоб у клиента интернет был через ВПН сервер? Или чтоб он свой собственный интернет использовал? Какие еще ставятся задачи для ВПН?

[res2001]

Олег Париев, У вас при подключении клиента к ВПН сам ВПН работает? Пропадает только инет?
Т.е. с клиента вы можете пропинговать сервер по внутреннему ВПН адресу?

[res2001]

Олег Париев,

Чтобы на сайтах для просмотра внешнего ip отображался адрес сервака?

Кстати, если это ваша единственная задача для ВПН, то обычно ВПН не используют для этих целей (хотя и ВПН можно). Обычно ставят прокси на сервере и пускают нужные программы через прокси.

[Олег Париев]

Я же в самом начале вопроса написал, что push "redirect-gateway def1 bypass-dhcp" прописал, что бы юзать сервер как VPN для смены ip адреса)

С клиента я могу пинговать сам сервак, а вот всё остальное - шиш вам

[Олег Париев]

res2001, знаю, что используют прокси. Но мне ещё для кое-каких целей он нужен, потому сразу всё в нем стараюсь настроить)

[res2001]

Олег Париев, Ок. Я не понял вашу фразу про смену адреса в вопросе.
Тогда опцию redirect-gateway оставляйте - она как раз заставляет весь трафик от клиента ходить на ВПН сервер.

Дальше вы просто стандартными средствами сетевого администрирования (не связанными с ВПН) должны выпустить трафик клиента (с внутренними IP адресами ВПН) в интернет.
1. на сервере вы должны прописать ключ в реестре из ответа Дмитрий Шицков. Это сделает ВПН сервер маршрутизатором.
2. На ВПН сервере в фаерволе вы должны разрешить клиентский трафик.
Дальнейшие действия зависят от того как сам сервер выходит в инет. Т.к. внутри ВПН используются серые адреса, то где-то на стороне сервера должен быть NAT, через который должен проходить клиентский трафик.

Как видите все дальнейшие действия никак не связаны с ВПН. Просто в сети добавилась еще одна подсеть с серыми адресами, которую надо выпустить в инет.

[Олег Париев]

res2001, ох, знать бы как это делается) Ладно, буду дальше рыть. Спасибо хоть за это)

[res2001]

Олег Париев, На винде есть встроенный фаервол. Можете выйти на него через параметры. Если ни разу не настраивали правила фаервола, то погуглите. Не то что бы это сложно, но требует некоторого понимания.
Для простоты можно просто добавить 2 правила для входящих и исходящих пакетов разрешающие весь трафик из/в ВПН сети. Это полезно сделать по крайней мере на этапе отладки схемы, когда все заработает правила нужно ужесточить.
Про NAT - расскажите как сам сервер ВПН попадает в интернет. Тогда, возможно, еще смогу что-то добавить.

[Олег Париев]

res2001, про фаервол знаю. Я его нафиг вырубил ещё при первом запуске ПК XD

А вот про ВПН мало чего могу рассказать. Ну, сервак висит на моём основном ПК, который имеет доступ в инет через Роутер Keenetic Viva. Провайдер у меня Ростелеком. Это всё, что могу рассказать XD

[Олег Париев]

Кстати, адаптер VPN без доступа к сети висит -_-

[res2001]

Олег Париев, Ну значит все просто. На роутере у вас и так уже есть NAT. И включив маршрутизацию на ВПН сервере вы уже завернули ВПН трафик на роутер и в NAT.
Но т.к. роутер ничего не знает о ВПН сети, то он не будет знать куда отправлять ответные пакеты. Он будет их просто отбрасывать.
Чтоб этого не происходило вам нужно на роутере добавить маршрут в таблицу маршрутизации для ВПН сети шлюзом будет ваш ВПН сервер (нужно указывать адрес ВПН сервера в своей локальной сети, не ВПН адрес). При этом ВПН серверу лучше всего дать статический адрес, иначе при смене адреса на сервере маршрут станет не действительным.

[res2001]

Олег Париев,

адаптер VPN без доступа к сети висит

Это у клиента? Ну так и будет, пока вы не заставите всю схему работать.
Если на сервере - такое тут будет всегда, т.к. с той стороны интернета для ВПН сервера нет.

[Олег Париев]

res2001, ух как всё сложно XD Ладно, буду разбираться) Спасибо

[Олег Париев]

res2001, это сервер. Просто вы просили всё что знаю, вот и выдал

Получается, в первое поле я вписываю ip роутера, а во второй ip ПК-сервера?
Или я что-то не понял? -_-

[res2001]

Олег Париев, Это видимо настройка роутера?
Тип маршрута - маршрут до сети (не использовал никогда кинетики, поэтому не владею их терминами).
Адрес узла, при выборе маршрут до сети должен превратиться во что-то типа адрес сети.
Тут указываете 10.10.10.0, маска сети 255.255.255.0
Адрес шлюза - это адрес ВПН сервера в локальной сети. Его можете посмотреть на ВПН сервере в состоянии подключения или командой ipconfig.
Интерфейс - так и оставляйте, тогда роутер сам выберет подходящий интерфейс.

[Олег Париев]

res2001, всё также превышен интервал ожидания для запросов... Веселуха

[Олег Париев]

Вот как настроил

[res2001]

Олег Париев,

Вот как настроил

Если адрес шлюза указан правильный, значит все верно.

превышен интервал ожидания для запросов

Что делаете?
Запустите на клиенте с подключенным ВПН tracert google.ru. Вывод давайте сюда.

[Олег Париев]

res2001, я вижу небольшое продвижение. Уже хоть определяется ip роутера, а дальше заглохло. Как только закончит - отправлю вам

[Олег Париев]

Трассировка маршрута к google.com [64.233.165.138]
с максимальным числом прыжков 30:

1 6 ms * 2 ms DESKTOP-72H6NNI [10.10.10.1]
2 3 ms 2 ms 2 ms KEENETIC-7313 [192.168.1.1]
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.
6 * * * Превышен интервал ожидания для запроса.
7 * * * Превышен интервал ожидания для запроса.
8 * * * Превышен интервал ожидания для запроса.
9 * * * Превышен интервал ожидания для запроса.
10 * * * Превышен интервал ожидания для запроса.
11 * * * Превышен интервал ожидания для запроса.

После 11ого всё также идёт

[res2001]

Олег Париев, Посмотрите на роутере включен ли фаервол. Возможно он блокирует прохождение трафика от ВПН сети.

[res2001]

Олег Париев,

Уже хоть определяется ip роутера

Это значит, что трафик от клиента доходит до роутера и возвращается обратно. Т.е. маршрут вы прописали правильно и маршрутизация на ВПН серверер работает.
Дальше может быть несколько вариантов:
1. блокирует фаервол на роутере
2. возможно ВПН трафик не попадает в NAT на роутере, хоте по идее должен. Но скорее всего первый вариант.
3. что-то еще

[Олег Париев]

res2001, ОХохох какое веселье пошло XD

[Олег Париев]

Я создал правило, которое по идее должно срабатывать, но ничего -_-
Всё как было - так и осталось...

[res2001]

Олег Париев, Я так понял на роутере фаервол включен?
Вы можете его выключить для теста. Просто что бы удостоверится, что проблема в нем.
Выключите, пропингуйте гугл с клиента получите результат и снова включайте.

[res2001]

Олег Париев, Возможно требуется 2 правила фаервола - для входящих и для исходящих пакетов.
Возможно нужно правило, заворачивающее ВПН трафик в NAT.

[res2001]

Олег Париев, Кстати, если фаервол включен, выложите сюда скрин с его настройками.
Там по моему можно так же сохранить конфигурацию в текустовый файл, можно кусок такого конфига с правилами фаервола.

[Олег Париев]

res2001, ну, в Keenetic есть межсетевой экран. Как такового фаервола нет, вроде. Создал на все возможные интерфейсы правило для открытия портов.

[res2001]

Олег Париев, Межсетевой экран это то же самое, что и фаервол.
Он вообще включен? Какие-нибудь правила работающие есть? ВПН сервер у вас проводом подключен к роутеру?
Если фаервол выключен, то бесполезно туда что-то добавлять, но в этом случае трафик должен беспрепятственно проходить.
Обычно в подобных роутерах есть одна галка "включить фаервол".
Обычно, кстати, фаервол выключен. Для типичного домашнего использования он не нужен.
Если есть работающие правила фаервола (не ваше только что созданное), то давайте их сюда. Общим списком.
И еще: вы правило создали, но не включили его, поэтому оно не активно.

Еще посмотрите настройки NAT. Можете сюда их выложить.

На шлюзах под линуксом (например), что бы какой-то трафик пошел на NAT, надо в фаерволе создать правило, фильтрующее трафик и отправляющее его NATу. Но в таких "домашних" роутерах, как правило не требуется как-то дополнительно отправлять трафик NATу - все что получено по LAN интерфейсу и предназначено для WAN интерфейса автоматом заворачивается в NAT (NAT, конечно должен быть включен). Но наверное возможны и варианты. Поскольку я не имел дело с кинетиками, то не знаю как у них это реализовано.

[Олег Париев]

res2001, такс.

Способа отключения этого экрана нету. То есть туда просто добавляется правило и можно ключать/выключать их.

С NAT связан в роутере только один пункт - использовать его или нет.

[res2001]

Олег Париев, Да, стандартный функционал NAT особой настройки не требует. Про NAT есть еще пункт "Трансляция сетевых адресов", но вам это не нужно сейчас.

Вот тут нашел подходящий вариант описания настройки кинетика для выпускания локальной подсети в интернет. Там просто добавляется статический маршрут, что вы уже сделали.
По ссылке смотрите главу "Настройка Keenetic А". Глава про Кинетик Б нас не интересует. Считайте, что Keenetic А по ссылке - это ваш роутер. Keenetic Б - это сервер ВПН. Клиенты за Кинетик Б - это ваш ВПН клиент.

Короче говоря, при такой конфигурации должно работать. Но видимо что-то мешает.
Надо включать логи и смотреть на каком этапе режется трафик.
Для начала посмотрите есть ли в кинетике возможность логирования трафика. Это может быть что-нибудь типа галки "логировать" в правилах фаервола, либо где-то в диагностике инструмент типа tcpdump. Суть в том, что надо посмотреть есть ли исходящие пакеты в интернет, а затем отследить, есть ли входящие ответы из интернета на LAN интерфейсе.
Если логи есть в правилах фаервола, то надо создать правило, допустим, для пингов гугла (чтоб ничего лишнего не логировалось - на роутере объемы не резиновые) и включить в этом правиле логирование.
Если есть tcpdump, то надо так же в параметрах указать фильтрацию для пингов гугла.
Все это делать для WAN интерфейса. Сначала пингуйте гугл с ВПН сервера, просто что бы удостоверится, что логи работают. Затем пингуйте с ВПН клиента.

Второй этап проверки - таким же образом отследить ответы. Ответы сначала должны попадать на WAN интерфейс, а после NATа с измененным адресом получателя на LAN.

Кстати, вы так и не ответили - ваш ВПН сервер подключается к роутеру проводом или через WiFi?
И еще - фаервол на ВПН клиенте включен? Он то же может блокировать трафик. По сути на любому зле, через который проходит трафик, этот трафик может быть заблокирован.

[Олег Париев]

Такс
1) сервак подключен проводом
2) фаервол везде выключал
3) на роутере есть системный журнал. попробую сейчас посмотреть что он выводит при tracert google.ru

[Олег Париев]

Пропинговал гугл с сервака. Ничего не выдало... Есть варик пингования с самого роутера и также подключения к OpenVPN с него. Сейчас попробую

[Олег Париев]

В этих логах ничего интересного нет...

[res2001]

Системный журнал- это не то.
tcpdump в диагностических инструментах там нет?
Пинг с самого роутера нам ничего не даст. Разве что можно пропинговать ВПН клиента. Но это должно быть успешно, т.к. с той стороны пинги проходят.
А вообще какой-нибудь инструмент мониторинга трафика есть? Какие у него возможности? Можно например там увидеть трафик пингов, IP адреса, ...

[res2001]

Олег Париев, Вот тут описание настройки фаервола.
Там в конце описано как выгрузить конфиг в файл и помечен участок с правилами фаервола.
Выгрузите ваш конфиг в файл и давайте сюда участок конфига с вашими правилами фаервола.

[Олег Париев]

res2001, нашёл только такое. Пришлось обновления закачивать. Оказывается, в моём роутере дофига всего, но надо дополнительно устанавливать

[res2001]

Олег Париев, Обнаружил случайно. Там где-то в кинетике есть такая фигня - Домашняя сеть и внутри нее сегменты.
Возможно нужно добавить сеть 10.10.10.0 в список домашних сетей.

[Олег Париев]

res2001, Другие сегменты нужны для настройки скорости на проводном подключении, если не ошибаюсь. Туда я добавить ничего не могу

[res2001]

Олег Париев, Вот тут описание использования сегментов.
Но скорее всего это не то, что нужно, т.к. там назначается VLAN_ID, т.е. это разбиение на VLANы. Нам это не нужно. Но может быть можно добавить к существующему сегменту еще один адрес подсети. Проверьте это.

[Олег Париев]

res2001, добавить сегменты можно было в старых роутерах. По крайней мере, в новом ничего такого не вижу

[res2001]

Олег Париев, Что-то ваши ссылки не открываются.
Сегменты это изоляция подсетей. Не совсем то что надо, но черт его знает какой смысл еще зюкселевцы в это вложили.

Кстати, traceroute есть в cli. Вот тут можно мануал скачать по командам cli. Если не боитесь командной строки - можно попробовать.
PS: перепутал. traceroute там есть, но нам то нужен tcpdump, а его, похоже, нет.

[res2001]

Олег Париев, Вот форум поддержки: https://forum.keenetic.net/forum/6-keenetic-commun...?
Можете там вопрос написать. Можете приложить tracert с ВПН клиента.
Проблема сводится к тому, что у вас есть еще одна локальная подсеть и ее надо выпустить в интернет. Подсеть доступна через шлюз в основной сети. Напишите, что статический маршрут вы создали, но эффекта это не дало.
Про ВПН, собственно, можно не упоминать (он работает), а то они сразу свалят на то, что ВПН не работает.

[res2001]

Олег Париев, Кстати, пишут, что OpenVPN добавлена в сам роутер. Можно из него сделать ВПН сервер. Думаю в этом случае многие проблему отпадут.
https://forum.keenetic.net/topic/2617-%D0%B2%D0%BE...

[Олег Париев]

res2001, надо будет попробовать, но только надо найти как сертификаты закинуть и какой к ним путь

[res2001]

Олег Париев, Сертификаты встраиваются в конфиг. Там где-то в обсуждении есть пример подобного конфига.
Если что, то подобная техника для работы с сертификатами применятеся для OpenVPN под андроид. Можете погуглить, примеров хватает. Вообще и на ПК такое то же можно делать.

Посмотрите текстовый конфиг есть ли там команды ip nat .... Подумал, что возможно надо добавить сеть в NAT. Это можно делать с помощью cli.
Но по идее, он должен натить все что приходит на LAN интерфейс.

[res2001]

Олег Париев, Кстати, форум у зюкселя очень даже не плох. Отвечают не только сотрудники, но и просто местные старожилы. Даже есть ветка с пожеланиями к разработке.
Рекомендую написать туда, явно проблема решается как-то просто.

[Олег Париев]

Нашёл вот такую строчку в конфиге

[Олег Париев]

Да ёмаё... Чёт не грузит фотки с первого раза XD

[Олег Париев]

res2001, попробовал развернуть сервак на роутере, но ничего не вышло... Пахать он отказывается

[res2001]

Олег Париев,

Пахать он отказывается

Надо смотреть лог openvpn, там должны быть ошибки.

Вы писали, что у вас в кинетике нет сегментов. Что такое тогда Home, Guest и vpn в командах ip nat? Это должна быть какая-то сущность, которую видно через веб интерфейс.
Думаю можно попробовать добавить команду
ip nat 10.10.10.0 255.255.255.0
Это можно сделать через cli, введя ее в командной строке. Возможно доступ к cli есть в веб интерфейсе, другой вариант - ssh. Не знаю он включен в кинетике по умолчанию или нет.
Еще вариант - добавить команду в конфиг и загрузить конфиг в роутер.
Но лучше все таки через cli, там по крайней мере. если команда почему то не правильная он напишет ошибку. А что будет, если конфиг не правильный - х.з.

[Олег Париев]

res2001, егать какая благодать XD Всё заработало) Прописал ip nat 10.10.10.0 255.255.255.0 и подмена ip заработала, и инет появился) Спасибо большое!!!!

[res2001]

Олег Париев, Ну и отлично!
Теперь рекомендую на ВПН сервере включить фаервол и, добавив нужные правила, добиться что бы ВПН работал со включенным фаерволом.
Потом то же самое с ВПН клиентом.
Фаервол нужная штука, не стоит от него отказываться.

Answer 2

[Дмитрий Шицков]

На сервере в реестре нужно в

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\IPEnableRouter

выставить 1.
Возможно, после этого потребуется перезагрузка сервера.

Comments

[Олег Париев]

Выставлял. Только у вас неточность небольшая. Надо было в IPEnableRouter 1 поставить

[Дмитрий Шицков]

Олег Париев, т.е. этого не хватило?

[Олег Париев]

Дмитрий Шицков, неа. Я это и на клиенте, и на серваке включал. Но всё равно проблема такая...