Проблема с сетью за клиентом OpenVPN?

Question

[denisden80]

Ребята, прошу помощи, суть вопроса такова.
Поднимаю Openvpn на VPS. Надо связать домашний компьютер и роутер на даче. Роутер ZBT WE1626 c прошивкой от Padavan. Интернет на даче добывается через 4G модем. И вроде всё получилось, на роутер удаленно захожу, его подсеть вижу (192.168.5.0/24), а вот подсеть 4G модема (192.168.8.0/24) не вижу, ну и соответственно не могу зайти на модем (192.168.8.1)
Скрины и конфиги:

Схема

ZBT_Modem

ZBT_OVPN

маршруты на роутере:

ZBT_Route

файервол на роутере выключен :

ZBT_Firewall

маршруты на ПК:

PC_Route

маршруты на сервере:

Server_Route

файервол на сервере:

Server_Firewall

Конфиг файл сервера OVPN:

serverOVPN.conf

port 1194
proto udp
dev tun
ca ca.crt
cert serverOVPN.crt
key serverOVPN.key # This file should be kept secret
dh dh2048.pem
tls-auth ta.key 0 # This file is secret
key-direction 0
cipher AES-256-CBC
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt

push "route 192.168.5.0 255.255.255.0"
push "route 192.168.8.0 255.255.255.0"

client-config-dir ccd
route 192.168.5.0 255.255.255.0
route 192.168.8.0 255.255.255.0

client-to-client

keepalive 10 120
comp-lzo

user nobody
group nogroup

persist-key
persist-tun

status /var/log/openvpn/openvpn-status.log
log /var/log/serverOVPN.log
verb 3
explicit-exit-notify 1

sndbuf 0
rcvbuf 0

Конфиг файл клиента на роутере:

dacha.conf

client
dev tun
proto udp
remote адрес_сервера 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert dacha.crt
key dacha.key
remote-cert-tls server
tls-auth ta.key 1
key-direction 1
cipher AES-256-CBC
comp-lzo
verb 3
sndbuf 0
rcvbuf 0

Также создан каталог ccd с файлом dacha (имя клиента)

dacha

iroute 192.168.5.0 255.255.255.0
iroute 192.168.8.0 255.255.255.0

Где я, что забыл. Подскажите.

Answer 1

[Valentin Barbolin]

Маршруты на самом модеме можно посмотреть?
Вы можете достучаться до клиентов в сети 192.168.5.0/24, т.к. роутер для них GW и у него есть маршрут в сеть VPN. Но ваш модем не имеет маршрута в вашу VPN сеть, а GW у него провайдер. Тут два варианта, прописать маршрут на модеме (если он это позволяет) или настроить NAT на роутере в сторону модема (хотя тут странность, клиенты локальной сети могут зайти на модем, а VPN не могут, значит клиенты локальной сети натятся при доступе к модему и модем всех видит под одним адресом).

Comments

[denisden80]

Маршруты на самом модеме можно посмотреть?

нет, нельзя.

или настроить NAT на роутере в сторону модема (хотя тут странность, клиенты локальной сети могут зайти на модем, а VPN не могут, значит клиенты локальной сети натятся при доступе к модему и модем всех видит под одним адресом).

Да вот жеж

[Valentin Barbolin]

denisden80, Я думаю прошивку Падаван не готовили для такого случая) Это нормально когда VPN клиенты натяться через WAN роутера, но в данном случае падаван выступает VPN клиентом, если бы он выл сервером то проблема бы не возникла)

[denisden80]

Видимо да.
Подключился к модему по телнету. Удалось просмотреть таблицу маршрутизации

[Valentin Barbolin]

denisden80, На просторах интернета рекомендую использовать кастомные скрипты.
Как пример
https://bitbucket.org/padavan/rt-n56u/issues/580/r...

#!/bin/sh

VPN_NET="10.10.10.0/24"
INTERFACE_WAN="ens192"

func_ipup()
{
  iptables -t nat -A POSTROUTING -s ${VPN_NET} -o ${INTERFACE_WAN} -j MASQUERADE
  return 0
}

func_ipdown()
{
   return 0
}


case "$1" in
up)
  func_ipup
  ;;
down)
  func_ipdown
  ;;
esac

[denisden80]

Спасибо. Попробую.
Но вроде как есть возможность прописать маршрут в модеме. Только что-то не догоню пока что какой)))) Совсем уже запутался

[Valentin Barbolin]

denisden80, Как-то так.
ip route add 10.8.0.0.0/24 via 192.168.8.2

[denisden80]

Прописал на модеме маршрут

))))) Не помогло

[Valentin Barbolin]

denisden80, Маловероятно что он так может. Надо искать решение на стороне роутера.

[denisden80]

Короче. Возьму тайм аут пока что. Andrey Barbolin, Вам спасибо за помощь и уделённое мне время.

[denisden80]

Победил наконец-то эту хрень. Надо было на роутере добавить правило в iptables:
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -d 192.168.8.0/24 -j MASQUERADE

Answer 2

[Drno]

на домашнем роутере укажите маршрут до подсети модема, потому что роутер то не вкурсе что там за дачным роутером...

или сделайте проброс порта (вам же веб интерфейс нужен?)

Comments

[denisden80]

или сделайте проброс порта (вам же веб интерфейс нужен?)

То есть, на дачном роутере сделать проброс из 192.168.8.1: 80 на 192.168.5.1:444 (например)?

[Drno]

denisden80, ну по сути да, только 80 порт не используйте... он же у вас под основной роутер...
входящий - VPN адрес дачного роутера, порт 8080 >>> 192.168.8.1:80

[denisden80]

входящий - VPN адрес дачного роутера, порт 8080 >>> 192.168.8.1:80

Что-то не работает

[Drno]

denisden80, ну надо смотреть что там настроили, разрешает ли фаерволл... дайте скрин, че там в настройках (я просто хз этот роутер вообще)

[denisden80]

разрешает ли фаерволл

фаервол на роутере выключен. Скрин есть выше. Тут видимо затык в модемовском NAT и его маршрутах. Думаю, что надо ковырять сам модем

[Drno]

denisden80, а он пинговаться начал?

[denisden80]

неа

[Drno]

denisden80, попробуйте на винде своей прописать маршрут - там типа route add 192.168.8.0 255.255.255.0 IP адрес впн сервера

[denisden80]

Короче. Возьму тайм аут пока что. Drno, Вам спасибо за помощь и уделённое мне время.

Answer 3

[denisden80]

А в качестве шлюза, что прописывать?
Да и мой домашний роутер не принимает участие в VPN. Клиент стоит на ПК.
Дело в том, что и с самого сервака (VPS) я не пингую сеть модема (192.168.8.0). Может на роутере надо что-то дописать, а может и в самом модеме? Короче, не понятно ))))

Comments

[Drno]

может, откуда знает VPS или домашний роутер что есть какая то сеть ЗА впн клиентом(дачный роутер) ?? )

надо прописать роут до него,(шлюз указать) типа - подсеть 192.168.8.0/24 >>> идти через IP VPN сервера... (это для домашнего роутера)
Или - идти на - ip адрес ВПН клиента(дачного), если надо заходить с VPS

[denisden80]

надо прописать роут до него,(шлюз указать) типа - подсеть 192.168.8.0/24 >>> идти через IP VPN сервера... (это для домашнего роутера)
Или - идти на - ip адрес ВПН клиента(дачного), если надо заходить с VPS

Так это все прописано. Посмотрите таблицы роутинга, которые я приложил.