Нет доступа к внутренней подсети как настроить машрут?

Question

[DimonNt]

Друзья такая беда.
Поднят OpenVPN на роутере с OpenWRT, и подключен один клиент через такой же роутер, но на другом конце страны (грубо говоря).

Конфиг сервера:

local 0.0.0.0
port 7013
proto tcp
dev tun0

ca ca.crt
cert server.crt
key server.key
dh dh2048.pem

server 192.168.254.0 255.255.255.0
push "route 192.168.84.0 255.255.255.0"
push "route 192.168.85.0 255.255.255.0"
route 192.168.85.0 255.255.255.0

client-to-client
client-config-dir /etc/openvpn/office/ccd
keepalive 5 60
comp-lzo
persist-key
persist-tun
verb 3

status /etc/openvpn/office/openvpn-status.log
log /etc/openvpn/office/openvpn-log.log

конфиг CCD

iroute 192.168.85.0 255.255.255.0
push "route 192.168.85.0 255.255.255.0"
#push "route 192.168.84.0 255.255.255.0"

конфиг клиента

client
remote 777.777777.666 7013
proto tcp
dev tun0
verb 3
comp-lzo
persist-key
persist-tun
resolv-retry infinite
nobind
dh dh2048.pem
ca ca.crt
cert pr.crt
key pr.key
log /etc/openvpn/kr/openvpn.log
status /etc/openvpn/kr/openvpn-status.log

Проблема в том что IP который раздаёт VPN клиент получает (подсеть клиента 85, подсеть сервера 84, подсеть VPN 254)
Но по внутреннему IP клиента я с сервера зайти не могу по удаленке (типо Tight VNC), а с клиента в сервер легко....
и вот... мозг ломаем не можем победить, может идей накидаете? Заранее спасибо друзья

Answer 1

[res2001]

Встречные вопросы:
1. На сколько понял ВПН поднимается и, например, пинги идут с ВПН IP сервера на ВПН IP клиента и наоборот?
2. Значит проблема в доступе из сети клиента в сеть сервера и наоборот?
3. Т.к. ВПН сервер и клиент подняты на роутерах, то предполагаю, что эти же роутеры являются шлюзами по умолчанию для компов в своих сетях?

Если на все вопросы ответ - Да.
То проблема в блокировке трафика фаерволами. Блокировка может происходить как на роутерах так и на конечных узлах локальными фаерами.
Проблемы с маршрутизацией быть не должно, т.к. роутеры - шлюзы по умолчанию в своих сетях.
Выберите по компу в обеих сетях, убедитесь, что на этих тестовых компах роутеры являются шлюзами по умолчанию, отключите на них локальные фаерволы и тестируйте. Предварительно убедитесь, что на роутерах фаервол не блокирует ВПН трафик. Так же было бы полезно во время теста смотреть на роутерах вывод tcpdump по ВПН интерфейсу.

Comments

[DimonNt]

1 - Верно
2 - Проблема в доступе из сети сервера к сети клиента, но только если брать его (клиента) локальную подсеть (85), а от клиента (85) к серверу (84) доступ без проблем. НО если я иду по подсети 254, то хоть туда хоть обратно всё отрабатывает без проблем
3 - Ну впринципе да, можно сказать они шлюзы...

[res2001]

DimonNt,

Ну впринципе да, можно сказать они шлюзы

Что значит можно сказать? Вы давайте конкретно скажите - они шлюзы по умолчанию в компах своей сети или нет. От этого зависит - надо ли донастраивать маршрутизацию на компах сетей.
Т.е. смысл в том, что каждый отдельно взятый комп внутри 84 и 85 подсетей ничего не знает о соседней сети (т.е. маршрута к соседней сети нет в его таблице маршрутизации), поэтому пакеты для соседней сети он будет слать на шлюз по умолчанию.

В целом, исходя из вашего ответа на п.2, предполагаю, что с маршрутизацией все должно быть в порядке. Значит ищите на каком фаерволе блокируется трафик.
В общем то решение этих проблем уже не относится на прямую к ВПН - это обычные вопросы, которые приходится решать при настройке маршрутизации между сетями.

[DimonNt]

res2001, Спасибо вам огромное, победил.
Firewall в Windows на клиенте не пропускал входящий трафик )) Сейчас разрешил для своей софтины для удалёнки и всё заколосилось