OpenVPN — как настроить доступ в LAN клиента?

Question

[madcatdev]

Имеется OpenVPN-сеть с диапазоном 10.0.0.0/24 и несколькими хостами:
Сервер на OpenWRT, LAN 192.168.10.2, VPN 10.0.0.1
Клиент на Ubuntu, LAN 192.168.20.2, VPN 10.0.0.2
Клиент на Windows, адреса значения не имеют.

В конфиге OpenVPN-сервера указаны следующие опции:

push "route 192.168.10.0 255.255.255.0"
route 192.168.20.0 255.255.255.0 10.0.0.2

Windows и Ubuntu видят LAN адрес OpenWRT (192.168.10.2), при этом LAN адрес Ubuntu (192.168.20.2) недоступен как с Windows, так и с OpenWRT.
На OpenWRT в таблице маршрутов после запуска сервера появляется запись:

$route
...
192.168.20.0     10.0.0.2       255.255.255.0   UG    0      0        0 tun0

Фаервол на Ubuntu отключен на время тестирования, форвардинг включен (sudo sysctl net.ipv4.ip_forward=1).
Как сделать подсеть клиента Ubuntu или хотя бы только его LAN адрес (192.168.20.2) доступными через VPN?

Answer 1

[hint000]

Нужно добавить iroute (при этом также оставить имеющиеся сейчас route).
Подробнее было здесь: https://qna.habr.com/q/276200 (только там наоборот, человек прописал iroute, но не прописал route).

Comments

[madcatdev]

Помогло, но задачу решило не полностью.
Изменил конфиг сервера, добавил
push "route 192.168.20.0 255.255.255.0"
client-config-dir /etc/openvpn/ccd
В папке ccd создал файл с именем клиента (ubuntu), куда поместил
iroute 192.168.20.0 255.255.255.0
после чего 192.168.20.2 стал доступен как с сервера, так и с других клиентов.
Тем не менее, локальная сеть за Ubuntu все еще не доступна.

[hint000]

madcatdev,

Тем не менее, локальная сеть за Ubuntu все еще не доступна.

Для начала посмотреть traceroute, потом перейти к более крупному калибру: на Ubuntu нужно запустить tcpdump и смотреть какие пакеты пролетают при попытках доступа из VPN.
Это стандартные методы отладки сети.

[madcatdev]

Traceroute до хоста 192.168.20.1 (некий хост за клиентом Ubuntu) выдает только один хоп - 10.0.0.2, дальше ответа нет.
Tcpdump, запущенный на Ubuntu, показывает что ICMP echo request приходит, но вот ICMP echo reply отсутствует (это если пинговать 192.168.20.1 с других клиентов или с сервера).

[hint000]

madcatdev,

192.168.20.1 (некий хост за клиентом Ubuntu)

Для того хоста default-шлюзом является Ubuntu? Или на том хосте прописан статический маршрут в сеть 10.0.0.0?
В противном случае конечный хост получает запрос, но отправляет ответ не туда.

[madcatdev]

hint000, прописал хосту 192.168.20.1 маршрут в сеть 10.0.0.0, теперь хост стал доступен через VPN.
Прописывал следующее: Dst address: 10.0.0.0/24, Gateway: 192.168.20.2 (RouterOS).
Спасибо вам!