Сервер-клиент openvpn win не видят за собой локальную сеть. как исправить?

Question

[Слава Кривошейков]

Приветствую .

win server 2019

Сервер конф

port 1194
# TCP or UDP server?
;proto tcp
proto udp
;dev tap
dev tun
;dev-node MyTap
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\server.crt"
key "C:\\Program Files\\OpenVPN\\config\\server.key" # This file should be kept secret
dh "C:\\Program Files\\OpenVPN\\config\\dh.pem"
;topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
;server-bridge
push "route 192.168.1.0 255.255.255.0"
push "route 172.22.24.2 255.255.248.0"
client-config-dir "C:\\Program Files\\OpenVPN\\config\\ccd"
;route 192.168.40.128 255.255.255.248
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
;learn-address ./script
;push "redirect-gateway def1 bypass-dhcp"
;push "dhcp-option DNS 8.8.8.8"
;push "dhcp-option DNS 8.8.4.4"
client-to-client
;duplicate-cn
keepalive 10 120
tls-auth "C:\\Program Files\\OpenVPN\\config\\tls-auth.key" 0 # This file is secret
cipher AES-256-CBC
;compress lz4-v2
;push "compress lz4-v2"
#comp-lzo
;max-clients 100
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
;log openvpn.log
;log-append openvpn.log
verb 3
;mute 20
explicit-exit-notify 1

win 10

Клиент конф

client
;dev tap
dev tun
;dev-node MyTap
;proto tcp
proto udp
remote х.х.х.х 1194
;remote my-server-2 1194
;remote-random
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
;mute-replay-warnings
ca ca.crt
cert client.crt
key client.key
remote-cert-tls server
tls-auth ta.key 1
cipher AES-256-GCM
#comp-lzo
verb 3
;mute 20
push "route 192.168.1.0 255.255.255.0"
push "route 172.22.24.0 255.255.248.0"

C:\Program Files\OpenVPN\config\ccd\client
iroute 192.168.1.1 255.255.255.0

ifconfig-push 10.8.0.8 10.8.0.1 255.255.255.252

Comments

[mureevms]

Невозможно сказать где ошибка, если нет исходных даных. К каким подсетям принадлежат клиент и сервер? Кто какую подсеть должен видеть?

[Слава Кривошейков]

mureevms, у сервера подсеть 192.168.1.х . У клиента подсеть 192.168.100.х и видеокамеры 172.16.0.х . Честно сказать нужно что бы сервер видел видеокамеры для дальнейшей транспортировки

[mureevms]

Слава Кривошейков, Так, появился третий ). Камеры где находятся? Рядом с какой-то из 192.168.x.x подсетей или вообще отдельно? Наверное проще схему нарисовать для понимания, а то там еще что-нибудь появится.

[Слава Кривошейков]

mureevms, по сути есть сервер 10.8.0.1(vpn) c локалкой 192.168.1.1 . Клиенты 10.8.х.х (vpn) с локалками 192.168.х.х , на каждом клиенте видеокамеры с адресами 172.16.х.х . Нужно что бы сервер имел доступ к камерам на всех обьектах . что бы на сервере можно было настроить камеры на экран.
В данный момент кроме как клиентов по адресу 10.8.х.х(впн) не чего прощупать не могу
У клиентов общая локалка 192.168.х.х , камеры 172.16.х.х дописаны доп айпи адресом на клиенте на одном и том же сетевом адаптере

[mureevms]

Слава Кривошейков, У меня пока не складывается. На каждом объекте по две подсети, одна для компов (192.168.х.х) и вторая для камер(172.16.х.х), правильно? Как подсеть 192.168.х.х полчает доступ в 172.16.х.х?

[Слава Кривошейков]

mureevms,

[mureevms]

Слава Кривошейков, снова не понял, что значит этот дополнительный IP адрес? Он есть, окей, но далеко не очевидно, что он означает. 172.16.0.1 это шлюз для 172.16.0.0 подсети? Или не нем каким-то образом висит камера?

[Слава Кривошейков]

mureevms, 172.16.0.х это подсеть камер . пример : камера №1 172.16.0.10 , камера №2 172.16.0.11 и тд
То что Вы видите 0.1 на конце не означает шлюз , можно в доп айпи написать хоть 172.16.0.245, главное что бы соблюдалась подсеть. Основной шлюз мы видим 192.168.1.1

[Слава Кривошейков]

mureevms,

[mureevms]

Основной шлюз мы видим 192.168.1.1

Сложно. Я правда пытался. В общем, расскажу теорию. А там если не вполне понятно, задавайте вопросы.

Answer 1

[res2001]

Подключение ВПН на клиенте и сервере создает дополнительный виртуальный сетевой адаптер со своим IP адресом. Программное обеспечение ВПН отвечает только за трафик, который попадает внутрь ВПН. Все остальное конфигурируется стандартными средствами: таблицы маршрутизации, фаерволы, NAT. В openvpn некоторые настройки таблиц маршрутизации можно (нужно) указывать в конфиге ВПН, а не напрямую править таблицы в ОС. Все это относится к любой ОС - принципы работы openvpn одинаковы в линукс и винде.

Обычно конфиг клиента делают максимально "легким". Там указывают только необходимые опции для подключения к серверу (протокол, адрес и порт сервера, параметры шифрования и логирования). Все что касается маршрутизации между сетями (route, push route) убирается в конфиг сервера.
Опция push "route ..." - добавляет маршрут на удаленной стороне. Т.е. если опция указана в конфиге сервера, то маршрут добавляется на стороне клиента.
Для добавления маршрута на стороне сервера в конфиге сервера используется опция: route

CCD файлы:
У вас не правильный синтаксис для опции ifconfig-push.
Правильный такой: ifconfig-push client_ip mask
Т.е. IP сервера не требуется указывать.
В опции iroute указываем сети за этим конкретным клиентом. Эти маршруты добавятся в таблицу маршрутизации сервера при подключении клиента. Не нужно дублировать эти маршруты опциями route в основном конфиге сервера.
Так же можно в CCD файле указать опцию push route для добавления маршрута клиенту для сети за сервером. Обычно push route указывают в основном конфиге сервера и она работает для всех клиентов.

Но! Что бы сети за клиентом и сервером могли друг друга видеть они должны знать по каким маршрутам передавать трафик друг для друга. Если ВПН сервер и ВПН клиент являются для своих сетей шлюзами по умолчанию - то проблемы нет, компы внутри сетей и так будут слать весь трафик через них. Но если ВПН сервер и/или ВПН клиент не являются шлюзами по умолчанию для своих сетей, то требуется добавить дополнительные маршурты для соседних сетей через ВПН сервер/клиент. Централизованно маршруты можно добавить через опции DHCP, возможно политиками AD.

Фаерволы на любом узле могут блокировать трафик. Для отладки взаимодействия сетей через ВПН рекомендую сначала отключить фаерволы на всех тестовых устройствах. После того как настроите маршрутизацию фаерволы включайте по одному, сразу проверяйте работу и вносите изменения в правила фаервола, если необходимо.

После того как вы добились соединения ВПН клиента с сервером все остальное - это правильная настройка маршрутизации и фаерволов.

Comments

[Слава Кривошейков]

Приветствую. Очень хорошо расписали , но практическую часть не понял... так как новичок

[res2001]

Слава Кривошейков,
1. Уберите из клиентского конфига все push route
2. Уберите из серверного конфига push route относящиеся к сетям за клиентом. Будем их прописывать в клиентском ccd в опции iroute.
Оставьте тут только push route для сетей, находящихся за сервером. Эти маршруты будут добавлены в таблицу маршрутизации всех клиентов после подключения.
3. Добавьте в серверный конфиг опцию "topology subnet". Про возможные варианты топологий можно почитать тут (ищите по названию опции): https://openvpn.net/community-resources/reference-...
По умолчанию используется net30. subnet превращает вашу ВПН подсеть в одну большую подсеть, а не в кучу мелких с маской 30 подсетей.
Всегда использую subnet.
4. В клиентском ccd файле исправьте опцию ifconfig-push. Приведите ее в формат:
ifconfig-push 10.8.0.8 255.255.255.0
где 10.8.0.8 - внутренний ВПН IP адрес назначаемый клиенту при подключении, должен быть из подсети, указанной в опции server серверного конфига.
255.255.255.0 - маска сети, та же, что и в опции server
Если использовать топологию по умолчанию, то вместо маски надо указывать IP адрес сервера. Принцип распределения адресов между клиентами и сервером для топологии net30 описан тут: https://openvpn.net/community-resources/configurin...
5. Добавьте в клиентский ccd опции iroute для всех сетей за данным клиентом. Эти маршруты будут прописаны в таблице маршрутизации сервера после подключения клиента.

Рестартуйте сервер. Подключитесь клиентом.
Проверьте пинг с сервера на клиент и обратно по внутренним ВПН адресам.
Проверь в таблице маршрутизации сервера, что там появились маршруты, указанные в опции iroute клиентского ccd.
Проверь в таблице маршрутизации клиента, что там появились маршруты, указанные в опции push route сервера.

Это первый этап. Когда все проверки пройдут, перейдем к настройкам рабочих станций в сетях за клиентом и сервером.

[Слава Кривошейков]

res2001,
Сервер конф

spoiler

port 1194
proto udp
dev tun
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\server.crt"
key "C:\\Program Files\\OpenVPN\\config\\server.key" # This file should be kept secret
dh "C:\\Program Files\\OpenVPN\\config\\dh.pem"
topology subnet
server 10.8.0.0 255.255.255.0 (впн адрес сервера)
push "route 192.168.1.0 255.255.255.0" (локалка за сервером)
push "route 172.22.24.0 255.255.248.0" (локалка за сервером)
client-config-dir "C:\\Program Files\\OpenVPN\\config\\ccd"
client-to-client
keepalive 10 120
tls-auth "C:\\Program Files\\OpenVPN\\config\\tls-auth.key" 0 # This file is secret
cipher AES-256-CBC
max-clients 1000
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1

C:\Program Files\OpenVPN\config\ccd\client

spoiler

ifconfig-push 10.8.0.2 255.255.255.0 10.8.0.1 (Адрес впн клиента маска и адрес сервера впн)

iroute 192.168.100.1 255.255.255.0 (адрес локалки за клиентом)
iroute 172.22.24.0 255.255.248.0 (адрес локалки за клиентом)

Клиент конф

spoiler

client
dev tun
proto udp
remote Х.Х.Х.Х 1194
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
remote-cert-tls server
tls-auth ta.key 1
cipher AES-256-GCM
verb 3

Пинг от сервера к клиенту и обратно по впн адресам проходит успешно.

лог сервера

Client/Х.Х.Х.Х:51556 SENT CONTROL [Home]: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,route 172.22.24.0 255.255.248.0,route-gateway 10.8.0.1,topology subnet,ping 10,ping-restart 120,ifconfig 10.8.0.2 255.255.255.0,peer-id 0,cipher AES-256-GCM' (status=1)

лог клиента

PUSH: Received control message: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,route 172.22.24.0 255.255.248.0,route-gateway 10.8.0.1,topology subnet,ping 10,ping-restart 120,ifconfig 10.8.0.2 255.255.255.0,peer-id 0,cipher AES-256-GCM'
C:\WINDOWS\system32\route.exe ADD 192.168.1.0 MASK 255.255.255.0 10.8.0.1
C:\WINDOWS\system32\route.exe ADD 172.22.24.0 MASK 255.255.248.0 10.8.0.1
MANAGEMENT: >STATE:1650537918,CONNECTED,SUCCESS,10.8.0.2,Х.Х.Х.Х,1194,,

[res2001]

Слава Кривошейков, В ifconfig-push третий параметр не нужен.
Посмотрите route print на клиенте и сервере, проверьте, что соответствующие маршруты есть.

У вас маршрут до сети 172.22.24.0 фигурирует и в push route и в iroute. Это не правильно.
Где реально расположена эта сеть?
Если за клиентом - оставьте iroute, если за сервером - оставьте push route.

Теперь отвечайте на вопросы:
1. ВПН сервер является шлюзом по умолчанию для компов в сети 192.168.1.0?
2. ВПН клиент является шлюзом по умолчанию для компов в сети 192.168.100.0?
3. То же самое для сети 172.22.24.0. Кто там является шлюзом по умолчанию?
На сколько я понял в сети 172.22.24.0 камеры наблюдения. Там есть возможность настраивать шлюз по умолчанию и добавлять статические маршруты? Не приходилось иметь дело с IP камерами.

[Слава Кривошейков]

res2001,
iroute 172.22.24.0 оставил клиенту, на сервере удалил
172.22.24.0-172.22.32.254 это камеры на каждом объекте , ip не совпадают. (за клиентом)
1) Нет . Шлюзом стоит роутер раздающий интернет
2) Аналогично
3)Шлюзом является видеосервер (пример 172.22.24.2)

Бывают адреса камера пример : 172.16.0.0-172.16.32.254 и тд .В каждой подсети этого адреса около 150 камер , которые могут находится на 5-7 обьектах

Сетевые компьютеры нужны только в 2ух офисах адреса 192.168.1.0 и 192.168.100.0 . На всех остальных только камеры нужны 72.22.24.0-172.22.32.254

сервер

172.16.82.Х это на wireguard я пробовал

клиент

[res2001]

В таблице маршрутизации сервера маршрут для сети 192.168.100.0 явно какой-то левый.
Он у вас присутствует, если соединение не установлено? Если это wireguard влезает, то надо его убрать - 2 маршрута к одной сети - дополнительные проблемы. Маршрут должен появиться только после подключения клиента и в адресе шлюза должен быть указан ВПН IP адрес клиента.
В клиентской таблице маршрутизации маршрут добавился правильно, но там так же присутствует и второй маршрут.
В общем добейтесь, что бы лишних маршрутов не было. При отключенном соединении маршрутов в таблицах маршрутизации не должно быть вовсе.

Теперь про компы в сети 192.168.1.0 - на каждый комп, которому нужен доступ к камерам и к сети за клиентом нужно добавить маршрут для сети192.168.100.0 (и для сети камер). Ручной способ - использовать команду

route -p add 192.168.100.0 mask 255.255.255.0 <IP адрес ВПН сервера в сети 192.168.1.0>

Команда добавит постоянный маршрут.
Но добавлять руками на каждом компе - это не наш метод, обычно. Маршруты можно распространять с помощью опций DHCP, GPO (тут я точно не уверен, т.к. давно не использовал), какие-то другие варианты то же возможны.

Для компов в сети за ВПН клиентом надо проделать аналогичную операцию, только команда другая:

route -p add 192.168.1.0 mask 255.255.255.0 <IP адрес ВПН клиента в сети 192.168.100.0>

Можете выбрать по 1 подопытному компу в каждой сети, на которых будете отрабатывать схему. Маршруты пока добавляйте руками, об вариантах автоматизации подумаете потом.

После добавления обоих маршрутов пинги с тестовых компов друг на друга должны проходить.
Если не проходят - скорее всего мешают фаерволы как на самих тестовых компах так и на ВПН сервере и клиенте. Для чистоты эксперимента фаерволы на время теста лучше отключить. Когда связь заработает, будете по одному включать фаервол, тестировать и если тест не проходит настраивать фаервол так, что бы трафик ходил. И так с каждым промежуточным фаерволом.

[res2001]

По камерам.
Тут смысл тот же - нужно на узлах (камерах, видео сервере) добавить маршруты для сети за ВПН сервером. Но тут можно поиграть шлюзом по умолчанию (смотри вопросы ниже).
На компах в сети за ВПН сервером, где нужен доступ к сетям камер, нужно добавить маршруты к сетям камер. Делается это аналогично посту выше, только изменить адрес сети.

Вопросы:
1.

Шлюзом является видеосервер

Видео сервер свой собственный для каждой сети камер или один видео сервер может работать с камерами из нескольких сетей?
Если видео сервер "собственный" и имеет IP адрес в той же сети, что и камеры, то назначать его шлюзом по умолчанию в камерах не нужно. Т.к. видео сервер напрямую доступен в сети, без маршрутизации.
Шлюз по умолчанию можно оставить пустым или использовать его в своих целях. Например, назначить шлюзом по умолчанию для камер ВПН клиента, ВПН клиент должен иметь на одном из своих локальных интерфейсов адрес из сети камер и должен быть доступен по сети.

2.Доступ к сетям камер нужен из сети 192.168.1.0? Доступ нужен к камерам или может быть достаточно видео сервера?

[Слава Кривошейков]

res2001,

spoiler

сюда добавлять шлюз впн клиентам?

route -p add 192.168.100.0 mask 255.255.255.0
(сделал на клиентах, пинг не проходит) фаерволы отключил

1)Для каждой сети , свой собственный видеосервер( один на обьект)

2) Да. Доступ к камерам желательно. Большая виртуальная сеть, как Вы говорили в начале по настройке сервера

клиент впн 10.8.0.2 (192.168.100.0)

Сервер впн 10.8.01 (192.168.1.0

Комп за сервером (192.168.1.0)

Пинг с компа за сервером(192.168.1.0

[res2001]

Слава Кривошейков,
1. Вы не указали адрес шлюза в команде route -p add, из-за этого маршрут может и добавился, но с каким шлюзом?
Для справки смотри route /?
После добавления маршрут должен появиться в выводе route print в таблице "постоянные маршруты".
Шлюзом нужно указать адрес ВПН сервера в сети 192.168.1.0, а не ВПН адрес!
Напишите какой адрес имеет ВПН сервер в своей сети? То же самое для ВПН клиента. Я вам напишу правильные команды полностью.

2. На скрине "Клиент ВПН" маршрут для сети 192.168.1.0 находится в двух таблицах. Похоже вы пытались вручную добавить маршрут командой route -p add, из-за чего маршрут появился в "постоянных маршрутах". Удалите его оттуда. После подключения маршрут должен появится в "активных маршрутах" автоматически.

3. На скрине "сервер ВПН" маршрут для сети 192.168.1.0 левый. Как он туда попал? Удалите его. Пока этот маршрут будет в таблице маршрутизации нормальной передачи трафика между сетями не будет.

4. Скрин "Пинг".
4.1. Если хотите пинговать из сети сервера ВПН клиента по ВПН адресу, то надо добавить еще один маршрут:

route -p add 10.8.0.0 mask 255.255.255.0 <IP адрес ВПН сервера в сети 192.168.1.0>

То же самое и для клиентской сети. Для теста в принципе это имеет смысл, в реальности скорее всего не нужно, поэтому я вам и не писал об этом.
4.2. Пока вы не добавите маршрут на комп 192.168.100.245 он пинговаться из сети за сервером не будет.

Только после того как все маршруты пропишутся и вы их проверите с помощью route print будет смысл переходить к пингам.

Вам надо разобраться как работает маршрутизация в TCP/IP.
Логика достаточно проста - если пакет передается не в свою сеть, то ищется маршрут в таблице маршрутизации. Если подходящего маршрута нет - используется шлюз по умолчанию.
Маршрут - это просто адрес следующего узла, куда должен быть отправлен пакет для этой сети.

[res2001]

Слава Кривошейков, Кстати, еще один момент забыл уточнить.
На ВПН сервере и ВПН клиенте какая ОС стоит? Возможно надо дополнительно включить маршрутизацию. Она вполне может быть выключена и тогда пакеты в принципе не будут передаваться между сетевыми адаптерами.
Проверьте в реестре ключ: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\IPEnableRouter он должен быть равен 1.
Если он равен 0, то установите 1.
Если такого ключа нет, то его надо создать вручную, тип параметра REG_DWORD.

[Слава Кривошейков]

res2001,
1) 192.168.1.245 локальный адрес впн сервера , 192.168.100.245 лок адрес внп клиента
2)Как можно удалить ?
3)Возможно с wireguard. я его отключил но маршруты остались. Возможно удаление поможет
4)

комп за сервером (192.168.1.0

Пинг с компа за сервером на локалку впн клиента (192.168.100.245)

4.2)

route printкомп за сервером (192.168.1.0

5) внп сервер ( ОС win server 2019)
впн клиент ( ОС win 10)
комп за сервером (ОС win 7)
6) IPEnableRouter равен 1 (на впн сервер и клиенте, на компе за сервером нету возможности посмотреть персонал работает)

А если мне нужен доступ к роутеру с впн клиента за впн сервером?как тогда настроить. И про камеры тот же вопрос

PS : в Роли впн клиента пока что выступает мой домашний комп

[res2001]

Слава Кривошейков,
2. route delete в параметрах надо повторить всю информацию по маршруту, т.е. то же, что указывал в route add
4.2. маршурт с адресом шлюза 10.8.0.1 надо удалить
6. На компах внутри сети реестр менять не надо, это актуально только на компах, которые сами будут являться маршрутизаторами - ВПН клиент и ВПН сервер.

А если мне нужен доступ к роутеру с впн клиента за впн сервером?как тогда настроить. И про камеры тот же вопрос

У роутера есть адрес в сети 192.168.1.0? По этому адрес роутер будет доступен, после того как добавишь маршрут на роутер для сети 10.8.0.0.

Ну в целом вроде все заработало. Осталось только проверить сеть за ВПН клиентом.
Если фаерволы отключены, то можно включать по одному и настраивать правила фаервола, если потребуется.

[res2001]

Слава Кривошейков, По камерам:
1. Учитывая, что

Для каждой сети , свой собственный видеосервер( один на обьект)

то в камерах шлюзом по умолчанию можно указать IP адрес ВПН клиента в сети камер. Это самый простой вариант. Если по какой-то причине шлюз по умолчанию в камерах менять нельзя, то в них надо добавить маршрут, по аналогии с сетью 192.168.100.0, только шлюзом указывать IP адрес ВПН клиента в сети камер.

2. Какой адрес является шлюзом по умолчанию на видеосерверах? Тут то же можно изменить шлюз по умолчанию или добавить маршрут.

3. На компах в сети за сервером, которым нужен доступ к сетям камер нужно добавить соответствующий маршрут.

[res2001]

После того как все заработает можно подумать, как автоматически распространять маршруты на компы внутри сетей. На камеры и видео сервера настройки, видимо, придется делать вручную.

[Слава Кривошейков]

res2001, Можно ли просто сделать постоянный маршрут на впн клиенте для под сети камер? Как ранее делали для локальных сетей за впн сервером и впн клиентом

Четыре роутера есть за впн сервером, 192.168.1.1-4

Пинг с впн клиента , на комп за внп сервером

[res2001]

Слава Кривошейков, У ВПН клиента на локальном интерфейсе есть адрес из подсети камер?
Сеть камер надо добавить в CCD клиента в опцию iroute. Это добавит маршрут на ВПН сервере для сети камер.

На ВПН клиенте не нужно выполнять команды route add. Все маршруты добавляются на основе ВПН конфига сервера и/или клиентского CCD файла (push route).

[res2001]

Слава Кривошейков, Если не желательно вносить изменения в конфигурацию камер/видео сервера, то можно обойти проблему настроив NAT на ВПН клиенте на интерфейсе для сети камер и пустив трафик к камерам через NAT. В этом случае на конечных устройствах ничего менять не нужно.
Кстати, этот же вариант можно использовать и с локальными сетями компов. Но NAT - это дополнительная обработка трафика, которую можно избежать, настроив маршрутизацию.
Но это уже другая история. Как настраивать NAT на винде я с ходу не скажу. Вроде в Windows Server есть служба NAT (устанавливается дополнительно), а вот в десктопной винде ее нет, надо искать что-то стороннее.

Если камерам не нужен выход в интернет или в другие сети, т.е. они только пересылают трафик своему видео серверу, то нет ничего страшного, чтоб изменить на камерах шлюз по умолчанию. Это ни на что не повлияет.

На самом деле, если ВПН клиент больше ни для чего не будет использоваться, то проще было бы использовать не винду, а линукс (на ВПН сервере то же самое). И использовать виртуализацию для ВПН клиента и сервера. Конечно с линуксом нужно уметь обращаться.

[Слава Кривошейков]

res2001, у впн клиента локал адрес камер будет добавлен как доп айпи

Пример впн клиент

[res2001]

Слава Кривошейков, Я так и думал. Обычно для камер (и телефонии) делают свою отдельную физическую сеть, чтоб трафик сетей не влиял друг на друга. Т.к. с камер идет довольно значительный постоянный объем трафика.

В общем тут вам надо выбрать:
1. изменять маршрутизацию на камерах и видео сервере
2. использовать NAT. Если использовать этот вариант, то на NAT можно перевести и трафик в локалку за клиентом. Можно и не переводить. NAT на линуксе встроенный, никакого доп.софта не нужно. На винде же это может стать отдельным геморроем.

[Слава Кривошейков]

res2001, Обратите внимание пожалуйста. На скрин пинг с впн клиента в сеть за сервером . Что я делаю не так? с компа за впн сервером до впн клиента пинг проходит на отлично

Напомню что в роли впн клиента домашний комп, за ним локалки нет. Нужно просто через него прощупывать локалку за впн сервером

[res2001]

Слава Кривошейков,

Что я делаю не так?

Вот это:

На ВПН клиенте не нужно выполнять команды route add.

Все добавленные вручную маршруты удалите.
Вообще на ВПН сервер и ВПН клиенте все маршруты нужно устанавливать через конфиг ВПН сервера или CCD клиента.
Можно и в ручную. Но в этом случае маршруты автоматически не удалятся, если связь по ВПН отвалится (или клиент отключится). И не появятся при восстановлении связи.

А вообще, скорее всего мешает фаервол, скорее всего на компе в сети за сервером.
Любой фаервол на узлах по маршруту следования пакета может заблокировать трафик.

[Слава Кривошейков]

res2001, "впн клиент" удалил все созданные в ручную маршруты. перестал пинговать локальный адрес сервера впн и локалку за сервером. не пойму что сделал не так...

push "route 192.168.1.0 255.255.255.0" в конфиге сервера присутствует

внп клиент

[res2001]

Слава Кривошейков,

перестал пинговать локальный адрес сервера впн

Локальный адрес - это 192.168.1.254? То что не пингуется сервер по этому адресу - не большая проблема, по ВПН адресу он должен пинговаться.
Кстати, если бы клиент и/или сервер были бы под линуксом, то подобный пинг не проходил бы в принципе, там такое не работает по умолчанию.

Вообще ВПН сервер и клиент после подключения должны пинговать себя всегда по внутренним ВПН адресам, не зависимо от настроек маршрутов. Они находятся в одной ВПН сети, поэтому с точки зрения TCP/IP доступны друг другу на прямую, без маршрутизации.

Приведите таблицы маршрутизации клиента, сервера и компа в сети за сервером после подключения ВПН клиента, а так же вывод пинга.
Лучше это делать в текстовом виде, а не скриншотами.

[Слава Кривошейков]

res2001, Сервер впн внутренний 192.168.1.245 . (10.8.0.1)
Клиент впн внутренний 192.168.100.245. (10.8.02)
Комп за сервером 192.168.1.110.

Я ввиду к тому что впн клиент не понимает как ему пробится в локальную сеть за сервером. Поэтому у меня не проходит пинг до компа за сервером по адресу 192.168.1.110

С скриншотами мне проще анализировать проделанные мною действия)) пересматриваю, вникаю

[res2001]

Слава Кривошейков, Приведите таблицы маршрутизации клиента, сервера и компа в сети за сервером после подключения ВПН клиента, а так же вывод пинга.
Лучше это делать в текстовом виде, а не скриншотами.

[Слава Кривошейков]

res2001,

ВПН Клиент

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 On-link 10.8.0.2 49
0.0.0.0 0.0.0.0 192.168.100.2 172.22.24.2 36
10.8.0.0 255.255.255.0 On-link 172.22.24.2 36
10.8.0.0 255.255.255.0 On-link 10.8.0.2 281
10.8.0.2 255.255.255.255 On-link 10.8.0.2 281
10.8.0.255 255.255.255.255 On-link 172.22.24.2 291
10.8.0.255 255.255.255.255 On-link 10.8.0.2 281
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
172.22.24.0 255.255.248.0 On-link 172.22.24.2 291
172.22.24.2 255.255.255.255 On-link 172.22.24.2 291
172.22.31.255 255.255.255.255 On-link 172.22.24.2 291
192.168.1.0 255.255.255.0 On-link 10.8.0.2 26
192.168.1.0 255.255.255.0 On-link 172.22.24.2 291
192.168.1.0 255.255.255.0 10.8.0.1 10.8.0.2 281
192.168.1.254 255.255.255.255 On-link 172.22.24.2 291
192.168.1.255 255.255.255.255 On-link 10.8.0.2 281
192.168.1.255 255.255.255.255 On-link 172.22.24.2 291
192.168.100.0 255.255.255.0 On-link 172.22.24.2 291
192.168.100.245 255.255.255.255 On-link 172.22.24.2 291
192.168.100.255 255.255.255.255 On-link 172.22.24.2 291
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 10.8.0.2 281
224.0.0.0 240.0.0.0 On-link 172.22.24.2 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 10.8.0.2 281
255.255.255.255 255.255.255.255 On-link 172.22.24.2 291
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.100.2 1
0.0.0.0 0.0.0.0 10.8.0.2 24
===========================================================================

впн сервер

Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.1 172.22.24.2 291
10.8.0.0 255.255.255.0 On-link 10.8.0.1 281
10.8.0.1 255.255.255.255 On-link 10.8.0.1 281
10.8.0.255 255.255.255.255 On-link 10.8.0.1 281
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
172.22.24.0 255.255.248.0 On-link 172.22.24.2 291
172.22.24.2 255.255.255.255 On-link 172.22.24.2 291
172.22.31.255 255.255.255.255 On-link 172.22.24.2 291
192.168.1.0 255.255.255.0 On-link 172.22.24.2 291
192.168.1.245 255.255.255.255 On-link 172.22.24.2 291
192.168.1.255 255.255.255.255 On-link 172.22.24.2 291
192.168.100.0 255.255.255.0 On-link 172.22.24.2 291
192.168.100.245 255.255.255.255 On-link 172.22.24.2 291
192.168.100.255 255.255.255.255 On-link 172.22.24.2 291
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 10.8.0.1 281
224.0.0.0 240.0.0.0 On-link 172.22.24.2 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 10.8.0.1 281
255.255.255.255 255.255.255.255 On-link 172.22.24.2 291
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.1.1 По умолчанию
===========================================================================

комп за впн сервером

[res2001]

Слава Кривошейков, На сервере и клиенте все еще маячат маршруты с интерфейсов 172.22.24.2. Что-то у вас там продолжает висеть и сорить в таблицу маршрутизации. Попробуйте их все удалить через route delete, перезагрузить и посмотреть таблицу маршрутизации. Восстановятся после перезагрузки или нет?

На ВПН клиенте постоянный маршрут по умолчанию (0.0.0.0) через 10.8.0.2.

На ВПН сервере отсутствует правильный маршрут для сети 192.168.100.0, есть не правильный - через 172.22.24.2. Возможно из-за этого пинги не проходят.

На компе за ВПН сервером откуда-то взялись "активные маршруты" для сети 10.8.0.0 и 192.168.100.0. По идее они должны быть только в постоянных маршрутах. И странно, что Интерфейс во многих маршрутах 10.8.0.1 - хотя такого локального адреса на этом компе быть не должно.

[res2001]

Слава Кривошейков, Вообще предлагаю предложение.
Отключите ВПН на клиенте и сервере. Посмотрите на обоих таблицу маршрутизации.
Там не должно быть маршрутов:
1. на сервере: для сети 192.168.100.0 (и для сети камер)
2. на клиенте: для сети 192.168.1.0
3. На обоих: для сети 10.8.0.0 и любых где в интерфейсе 172.22.24.2

Не нужные маршруты удалите через route delete, проверьте, чтоб они действительно удалились, перезагрузитесь, проверьте что после перезагрузки левые маршруты не восстановились.
Когда таблицы будут очищены, можно будет подключать ВПН и проверять таблицы с подключенным соединением.

[Слава Кривошейков]

res2001,
1) На впн сервере в доп айпи прописано 172.22.24.2 . что бы веб интерфейс камер открывать для настройки.
2) комп за сервером. прописывал как Вы сказали
route -p add 192.168.100.0 mask 255.255.255.0
route -p add 10.8.0.0 mask 255.255.255.0

Клиент с выключенным впн

Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.100.2 172.22.24.2 36
10.8.0.0 255.255.255.0 On-link 172.22.24.2 36
10.8.0.255 255.255.255.255 On-link 172.22.24.2 291
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
172.22.24.0 255.255.248.0 On-link 172.22.24.2 291
172.22.24.2 255.255.255.255 On-link 172.22.24.2 291
172.22.31.255 255.255.255.255 On-link 172.22.24.2 291
192.168.1.0 255.255.255.0 On-link 172.22.24.2 291
192.168.1.254 255.255.255.255 On-link 172.22.24.2 291
192.168.1.255 255.255.255.255 On-link 172.22.24.2 291
192.168.100.0 255.255.255.0 On-link 172.22.24.2 291
192.168.100.245 255.255.255.255 On-link 172.22.24.2 291
192.168.100.255 255.255.255.255 On-link 172.22.24.2 291
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 172.22.24.2 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 172.22.24.2 291
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.100.2 1
0.0.0.0 0.0.0.0 10.8.0.2 24
===========================================================================

сервер с выключенным впн

маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.1 172.22.24.2 291
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
172.22.24.0 255.255.248.0 On-link 172.22.24.2 291
172.22.24.2 255.255.255.255 On-link 172.22.24.2 291
172.22.31.255 255.255.255.255 On-link 172.22.24.2 291
192.168.1.0 255.255.255.0 On-link 172.22.24.2 291
192.168.1.245 255.255.255.255 On-link 172.22.24.2 291
192.168.1.255 255.255.255.255 On-link 172.22.24.2 291
192.168.100.0 255.255.255.0 On-link 172.22.24.2 291
192.168.100.245 255.255.255.255 On-link 172.22.24.2 291
192.168.100.255 255.255.255.255 On-link 172.22.24.2 291
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 172.22.24.2 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 172.22.24.2 291
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.1.1 По умолчанию
===========================================================================

Убрал с доп айпи 172.22.24.2 и прочие айпи , вот такая получилась картинка на впн клиенте:

spoiler

Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.100.2 192.168.100.245 36
10.8.0.0 255.255.255.0 On-link 192.168.100.245 36
10.8.0.255 255.255.255.255 On-link 192.168.100.245 291
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.100.0 255.255.255.0 On-link 192.168.100.245 291
192.168.100.245 255.255.255.255 On-link 192.168.100.245 291
192.168.100.255 255.255.255.255 On-link 192.168.100.245 291
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.100.245 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.100.245 291
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.100.2(роутер) 1
0.0.0.0 0.0.0.0 10.8.0.2(впн клиент) 24
===========================================================================

[res2001]

Слава Кривошейков, С выключенным ВПНом (и выгруженным openvpn) не должно быть постоянного маршрута со шлюзом 10.8.0.2 на ВПН сервере и ВПН клиенте. Т.е. вообще не должно быть в таблице маршрутизации упоминания сети 10.8.0.0 в любом виде.
Вообще на ВПН клиенте и сервере таблица постоянных маршрутов должна быть пустая вообще всегда и когда нет ВПН соединения и когда есть. Все маршруты тут добавляются в "активные маршруты"

В таблицу постоянных маршрутов маршруты добавляются командой route -p add, ключ -p говорит о том, что маршрут постоянный. openvpn добавляет свои маршруты в активные.

На впн сервере в доп айпи прописано 172.22.24.2 . что бы веб интерфейс камер открывать для настройки.

Этот IP должен быть вторичным на ВПН клиенте. Никак не на сервере. Камеры ведь находятся за клиентом.
На клиенте можно вернуть этот IP.

комп за сервером. прописывал как Вы сказали

Тут все верно. Эти маршруты есть в постоянных и они там и должны быть.
Но там же в активных маршрутах есть маршруты до 10.8.0.0 и 192.168.100.0, а вот этих не должно быть. Все должно отрабатывать по постоянным маршрутам.
Попробуйте на этом компе удалить все маршруты для сетей 10.8.0.0 и 192.168.100.0 зафиксируйте таблицу маршрутизации без этих маршрутов. Затем повторно выполните route -p add и сравните таблицы. route -p add должен добавить маршрут только в "постоянные маршруты".

[Слава Кривошейков]

res2001, Разъединить соединение нажал на опенвпн на сервер и клинте . Наверное потому и остались

[Слава Кривошейков]

res2001, Я по прежнему не добился того что бы "впн клиент" пинговал "локалку впн сервера" и "впн сервер" что бы пинговал "локальный адрес клиента". (напомню что впн клиент дом.комп подопытный)
Перечитав все описанное выше обратил внимание что : на сервере не появляются маршруты до локальной сети(за впн клиентом) .
Они у нас в ссd/client:
ifconfig-push 10.8.0.2 255.255.255.0 ( впн клиент)

iroute 192.168.100.0 (локалка впн клиента) 255.255.255.0

впн сервер

Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.245 291
10.8.0.0 255.255.255.0 On-link 10.8.0.1 281
10.8.0.1 255.255.255.255 On-link 10.8.0.1 281
10.8.0.255 255.255.255.255 On-link 10.8.0.1 281
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.1.0 255.255.255.0 On-link 192.168.1.245 291
192.168.1.245 255.255.255.255 On-link 192.168.1.245 291
192.168.1.255 255.255.255.255 On-link 192.168.1.245 291
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 10.8.0.1 281
224.0.0.0 240.0.0.0 On-link 192.168.1.245 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 10.8.0.1 281
255.255.255.255 255.255.255.255 On-link 192.168.1.245 291
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.1.1 По умолчанию
===========================================================================

впн клиент

Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 On-link 10.8.0.2 49
0.0.0.0 0.0.0.0 192.168.100.2 192.168.100.245 36
10.8.0.0 255.255.255.0 On-link 192.168.100.245 36
10.8.0.0 255.255.255.0 On-link 10.8.0.2 281
10.8.0.2 255.255.255.255 On-link 10.8.0.2 281
10.8.0.255 255.255.255.255 On-link 192.168.100.245 291
10.8.0.255 255.255.255.255 On-link 10.8.0.2 281
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.1.0 255.255.255.0 On-link 10.8.0.2 26
192.168.1.0 255.255.255.0 10.8.0.1 10.8.0.2 281
192.168.1.255 255.255.255.255 On-link 10.8.0.2 281
192.168.100.0 255.255.255.0 On-link 192.168.100.245 291
192.168.100.245 255.255.255.255 On-link 192.168.100.245 291
192.168.100.255 255.255.255.255 On-link 192.168.100.245 291
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 10.8.0.2 281
224.0.0.0 240.0.0.0 On-link 192.168.100.245 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 10.8.0.2 281
255.255.255.255 255.255.255.255 On-link 192.168.100.245 291
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.100.2 1
0.0.0.0 0.0.0.0 10.8.0.2 24
===========================================================================

Завтра попытаюсь подключить второго впн клиента уже с камерами и копать дальше...

[res2001]

Слава Кривошейков, Нужно смотреть лог на сервере. Когда клиент подключается сервер пытается добавить маршрут из iroute в свою таблицу маршрутизации. На винде просто вызывается route add. Если команда завершается с ошибкой, то в логе это должно быть видно.

[res2001]

Слава Кривошейков, Только, видимо, надо включить логирование. Если вы используете GUI, то там логи должны быть видны.
Логи включаются опцией в конфиге:
log-append <полный путь к лог-файлу>
Каталог где лежит лог файл должен быть доступен на запись для пользователя из-под которого запускается openvpn. Логи будут добавляться в конец файла при перезапуске openvpn
Так же можно указать уровень логирования. Стандартный уровень verb 3. Его можно изменять в диапазоне [0; 9]. 0 - молчаливый режим, 9 - максимально разговорчивый. Обычно для отладки соединения хватает 3, но можно и увеличить при необходимости.

[Слава Кривошейков]

res2001,

сервер впн лог

2022-04-27 18:41:49 NOTE: --user option is not implemented on Windows
2022-04-27 18:41:49 NOTE: --group option is not implemented on Windows
2022-04-27 18:41:49 DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-256-CBC' to --data-ciphers or change --cipher 'AES-256-CBC' to --data-ciphers-fallback 'AES-256-CBC' to silence this warning.
2022-04-27 18:41:49 --pull-filter ignored for --mode server
2022-04-27 18:41:49 OpenVPN 2.5.6 Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Mar 16 2022
2022-04-27 18:41:49 Windows version 10.0 (Windows 10 or greater) 64bit
2022-04-27 18:41:49 library versions: OpenSSL 1.1.1n 15 Mar 2022, LZO 2.10
2022-04-27 18:41:49 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
2022-04-27 18:41:49 Need hold release from management interface, waiting...
2022-04-27 18:41:50 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
2022-04-27 18:41:50 MANAGEMENT: CMD 'state on'
2022-04-27 18:41:50 MANAGEMENT: CMD 'log all on'
2022-04-27 18:41:50 MANAGEMENT: CMD 'echo all on'
2022-04-27 18:41:50 MANAGEMENT: CMD 'bytecount 5'
2022-04-27 18:41:50 MANAGEMENT: CMD 'hold off'
2022-04-27 18:41:50 MANAGEMENT: CMD 'hold release'
2022-04-27 18:41:50 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
2022-04-27 18:41:50 Diffie-Hellman initialized with 2048 bit key
2022-04-27 18:41:50 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
2022-04-27 18:41:50 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
2022-04-27 18:41:50 interactive service msg_channel=944
2022-04-27 18:41:50 open_tun
2022-04-27 18:41:50 tap-windows6 device [OpenVPN TAP-Windows6] opened
2022-04-27 18:41:50 TAP-Windows Driver Version 9.24
2022-04-27 18:41:50 Set TAP-Windows TUN subnet mode network/local/netmask = 10.8.0.0/10.8.0.1/255.255.255.0 [SUCCEEDED]
2022-04-27 18:41:50 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.1/255.255.255.0 on interface {81D8ACB4-A086-410F-881A-FB6D22592CEB} [DHCP-serv: 10.8.0.0, lease-time: 31536000]
2022-04-27 18:41:50 Sleeping for 10 seconds...
2022-04-27 18:42:00 Successful ARP Flush on interface [12] {81D8ACB4-A086-410F-881A-FB6D22592CEB}
2022-04-27 18:42:00 MANAGEMENT: >STATE:1651063320,ASSIGN_IP,,10.8.0.1,,,,
2022-04-27 18:42:00 IPv4 MTU set to 1500 on interface 12 using service
2022-04-27 18:42:00 Could not determine IPv4/IPv6 protocol. Using AF_INET6
2022-04-27 18:42:00 Socket Buffers: R=[131072->131072] S=[131072->131072]
2022-04-27 18:42:00 setsockopt(IPV6_V6ONLY=0)
2022-04-27 18:42:00 UDPv6 link local (bound): [AF_INET6][undef]:1194
2022-04-27 18:42:00 UDPv6 link remote: [AF_UNSPEC]
2022-04-27 18:42:00 MULTI: multi_init called, r=256 v=256
2022-04-27 18:42:00 IFCONFIG POOL IPv4: base=10.8.0.2 size=253
2022-04-27 18:42:00 Initialization Sequence Completed
2022-04-27 18:42:00 MANAGEMENT: >STATE:1651063320,CONNECTED,SUCCESS,10.8.0.1,,,,
2022-04-27 18:42:14 37.150.43.150:60833 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
2022-04-27 18:42:14 37.150.43.150:60833 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
2022-04-27 18:42:14 37.150.43.150:60833 TLS: Initial packet from [AF_INET6]::ffff:37.150.43.150:60833, sid=4e18fb0f f6840ba6
2022-04-27 18:42:14 37.150.43.150:60833 VERIFY OK: depth=1, CN=server
2022-04-27 18:42:14 37.150.43.150:60833 VERIFY OK: depth=0, CN=Home
2022-04-27 18:42:14 37.150.43.150:60833 peer info: IV_VER=2.5.3
2022-04-27 18:42:14 37.150.43.150:60833 peer info: IV_PLAT=win
2022-04-27 18:42:14 37.150.43.150:60833 peer info: IV_PROTO=6
2022-04-27 18:42:14 37.150.43.150:60833 peer info: IV_NCP=2
2022-04-27 18:42:14 37.150.43.150:60833 peer info: IV_CIPHERS=AES-256-GCM:AES-128-GCM
2022-04-27 18:42:14 37.150.43.150:60833 peer info: IV_LZ4=1
2022-04-27 18:42:14 37.150.43.150:60833 peer info: IV_LZ4v2=1
2022-04-27 18:42:14 37.150.43.150:60833 peer info: IV_LZO=1
2022-04-27 18:42:14 37.150.43.150:60833 peer info: IV_COMP_STUB=1
2022-04-27 18:42:14 37.150.43.150:60833 peer info: IV_COMP_STUBv2=1
2022-04-27 18:42:14 37.150.43.150:60833 peer info: IV_TCPNL=1
2022-04-27 18:42:14 37.150.43.150:60833 peer info: IV_GUI_VER=OpenVPN_GUI_11
2022-04-27 18:42:14 37.150.43.150:60833 peer info: IV_SSO=openurl,crtext
2022-04-27 18:42:14 37.150.43.150:60833 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1557', remote='link-mtu 1549'
2022-04-27 18:42:14 37.150.43.150:60833 WARNING: 'auth' is used inconsistently, local='auth SHA1', remote='auth [null-digest]'
2022-04-27 18:42:14 37.150.43.150:60833 Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, peer certificate: 2048 bit RSA, signature: RSA-SHA256
2022-04-27 18:42:14 37.150.43.150:60833 [Home] Peer Connection Initiated with [AF_INET6]::ffff:37.150.43.150:60833
2022-04-27 18:42:14 Home/37.150.43.150:60833 MULTI_sva: pool returned IPv4=10.8.0.2, IPv6=(Not enabled)
2022-04-27 18:42:14 Home/37.150.43.150:60833 MULTI: Learn: 10.8.0.2 -> Home/37.150.43.150:60833
2022-04-27 18:42:14 Home/37.150.43.150:60833 MULTI: primary virtual IP for Home/37.150.43.150:60833: 10.8.0.2
2022-04-27 18:42:14 Home/37.150.43.150:60833 Data Channel: using negotiated cipher 'AES-256-GCM'
2022-04-27 18:42:14 Home/37.150.43.150:60833 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
2022-04-27 18:42:14 Home/37.150.43.150:60833 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
2022-04-27 18:42:14 Home/37.150.43.150:60833 SENT CONTROL [Home]: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,route-gateway 10.8.0.1,topology subnet,ping 10,ping-restart 120,ifconfig 10.8.0.2 255.255.255.0,peer-id 0,cipher AES-256-GCM' (status=1)

Home это название впн клиента

[Слава Кривошейков]

res2001,

клиент впн лог

2022-04-27 18:42:13 NOTE: --user option is not implemented on Windows
2022-04-27 18:42:13 NOTE: --group option is not implemented on Windows
2022-04-27 18:42:13 OpenVPN 2.5.3 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Jun 17 2021
2022-04-27 18:42:13 Windows version 10.0 (Windows 10 or greater) 64bit
2022-04-27 18:42:13 library versions: OpenSSL 1.1.1k 25 Mar 2021, LZO 2.10
Enter Management Password:
2022-04-27 18:42:13 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
2022-04-27 18:42:13 Need hold release from management interface, waiting...
2022-04-27 18:42:14 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
2022-04-27 18:42:14 MANAGEMENT: CMD 'state on'
2022-04-27 18:42:14 MANAGEMENT: CMD 'log all on'
2022-04-27 18:42:14 MANAGEMENT: CMD 'echo all on'
2022-04-27 18:42:14 MANAGEMENT: CMD 'bytecount 5'
2022-04-27 18:42:14 MANAGEMENT: CMD 'hold off'
2022-04-27 18:42:14 MANAGEMENT: CMD 'hold release'
2022-04-27 18:42:14 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
2022-04-27 18:42:14 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
2022-04-27 18:42:14 TCP/UDP: Preserving recently used remote address: [AF_INET]Х.Х.Х.Х:1194
2022-04-27 18:42:14 Socket Buffers: R=[245760->245760] S=[81920->81920]
2022-04-27 18:42:14 UDP link local: (not bound)
2022-04-27 18:42:14 UDP link remote: [AF_INET]Х.Х.Х.Х:1194
2022-04-27 18:42:14 MANAGEMENT: >STATE:1651063334,WAIT,,,,,,
2022-04-27 18:42:14 MANAGEMENT: >STATE:1651063334,AUTH,,,,,,
2022-04-27 18:42:14 TLS: Initial packet from [AF_INET]Х.Х.Х.Х:1194, sid=adb45690 25dcba7b
2022-04-27 18:42:14 VERIFY OK: depth=1, CN=server
2022-04-27 18:42:14 VERIFY KU OK
2022-04-27 18:42:14 Validating certificate extended key usage
2022-04-27 18:42:14 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
2022-04-27 18:42:14 VERIFY EKU OK
2022-04-27 18:42:14 VERIFY OK: depth=0, CN=server
2022-04-27 18:42:14 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1549', remote='link-mtu 1557'
2022-04-27 18:42:14 WARNING: 'auth' is used inconsistently, local='auth [null-digest]', remote='auth SHA1'
2022-04-27 18:42:14 Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, peer certificate: 2048 bit RSA, signature: RSA-SHA256
2022-04-27 18:42:14 [server] Peer Connection Initiated with [AF_INET]Х.Х.Х.Х:1194
2022-04-27 18:42:14 PUSH: Received control message: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,route-gateway 10.8.0.1,topology subnet,ping 10,ping-restart 120,ifconfig 10.8.0.2 255.255.255.0,peer-id 0,cipher AES-256-GCM'
2022-04-27 18:42:14 OPTIONS IMPORT: timers and/or timeouts modified
2022-04-27 18:42:14 OPTIONS IMPORT: --ifconfig/up options modified
2022-04-27 18:42:14 OPTIONS IMPORT: route options modified
2022-04-27 18:42:14 OPTIONS IMPORT: route-related options modified
2022-04-27 18:42:14 OPTIONS IMPORT: peer-id set
2022-04-27 18:42:14 OPTIONS IMPORT: adjusting link_mtu to 1624
2022-04-27 18:42:14 OPTIONS IMPORT: data channel crypto options modified
2022-04-27 18:42:14 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
2022-04-27 18:42:14 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
2022-04-27 18:42:14 interactive service msg_channel=624
2022-04-27 18:42:14 ROUTE_GATEWAY 192.168.100.2/255.255.255.0 I=18 HWADDR=00:25:22:1c:e2:fb
2022-04-27 18:42:16 RESOLVE: Cannot resolve host address: add: ()
2022-04-27 18:42:16 OpenVPN ROUTE: failed to parse/resolve route for host/network: add
2022-04-27 18:42:16 open_tun
2022-04-27 18:42:16 tap-windows6 device [OpenVPN TAP-Windows6] opened
2022-04-27 18:42:16 TAP-Windows Driver Version 9.24
2022-04-27 18:42:16 Set TAP-Windows TUN subnet mode network/local/netmask = 10.8.0.0/10.8.0.2/255.255.255.0 [SUCCEEDED]
2022-04-27 18:42:16 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.2/255.255.255.0 on interface {AB1194EC-B68F-4C32-AAC5-853B6BCBC890} [DHCP-serv: 10.8.0.254, lease-time: 31536000]
2022-04-27 18:42:16 Successful ARP Flush on interface [16] {AB1194EC-B68F-4C32-AAC5-853B6BCBC890}
2022-04-27 18:42:16 MANAGEMENT: >STATE:1651063336,ASSIGN_IP,,10.8.0.2,,,,
2022-04-27 18:42:16 IPv4 MTU set to 1500 on interface 16 using service
2022-04-27 18:42:21 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
2022-04-27 18:42:21 MANAGEMENT: >STATE:1651063341,ADD_ROUTES,,,,,,
2022-04-27 18:42:21 C:\WINDOWS\system32\route.exe ADD 192.168.1.0 MASK 255.255.255.0 10.8.0.1
2022-04-27 18:42:21 Route addition via service succeeded
2022-04-27 18:42:21 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
2022-04-27 18:42:21 Initialization Sequence Completed
2022-04-27 18:42:21 MANAGEMENT: >STATE:1651063341,CONNECTED,SUCCESS,10.8.0.2,Х.Х.Х.Х2,1194,,

[res2001]

Слава Кривошейков, Ошибок нет, но и не видно, чтоб route на сервере вызывалась.
Приведите клиентский ccd полностью без замен

[Слава Кривошейков]

res2001,
ссd/Home:
ifconfig-push 10.8.0.2 255.255.255.0

iroute 192.168.100.0 255.255.255.0

[res2001]

Слава Кривошейков, topology subnet стоит в основном конфиге сервера?
Выглядит нормально.
Попробуйте сменить адрес в ifconfig-push на другой, возьмите что-нибудь из конца диапазона, перезагрузите сервер и переподключитесь клиентом. Проверьте, что на клиенте установился новый адрес.
Есть подозрение, что клиентский ccd не отрабатывает вообще.

[Слава Кривошейков]

res2001,

Сервер конф

port 1194
proto udp
dev tun
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\server.crt"
key "C:\\Program Files\\OpenVPN\\config\\server.key" # This file should be kept secret
dh "C:\\Program Files\\OpenVPN\\config\\dh.pem"
topology subnet
server 10.8.0.0 255.255.255.0
;ifconfig-pool-persist ipp.txt
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
push "route 192.168.1.0 255.255.255.0"

# EXAMPLE: Suppose the client
# having the certificate common name "Thelonious"
# also has a small subnet behind his connecting
# machine, such as 192.168.40.128/255.255.255.248.
# First, uncomment out these lines:
client-config-dir "C:\\Program Files\\OpenVPN\\config\\ccd"
# Then create a file ccd/Thelonious with this line:
# iroute 192.168.40.128 255.255.255.248
# This will allow Thelonious' private subnet to
# access the VPN. This example will only work
# if you are routing, not bridging, i.e. you are
# using "dev tun" and "server" directives.

# EXAMPLE: Suppose you want to give
# Thelonious a fixed VPN IP address of 10.9.0.1.
# First uncomment out these lines:
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
# Then add this line to ccd/Thelonious:
#ifconfig-push 10.9.0.1 10.9.0.2

client-to-client
keepalive 10 120
tls-auth "C:\\Program Files\\OpenVPN\\config\\tls-auth.key" 0 # This file is secret
cipher AES-256-CBC
max-clients 1000
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1

я вручную создавал папку ccd и файл клиента, потому что при подключении не появился. скинул с хештегами что бы было понятно

Сменил адрес в ifconfig-push не поменялся ip . Перезагрузил и сервер и клиент

[res2001]

Слава Кривошейков, Ну ccd руками и надо создавать. Конфиг по умолчанию, на сколько я помню, не использует ccd.
В серверном конфиге то же на вид все нормально. Ну и то что клиент подключается говорит о том, что сервер сконфигурирован нормально.
Проведите эксперимент из моего сообщения выше: https://qna.habr.com/q/1140280#comment_3039410

[res2001]

Слава Кривошейков, Суть в том, что клиентский ccd выбирается по определенным правилам - клиентов то может быть много и у каждого свой ccd. Если правила не отрабатывают, то и ccd не будет использоваться. У меня как раз такое предположение.
ccd выбирается по полю CN сертификата клиента.

[res2001]

Слава Кривошейков, Т.е. имя файла ccd должно быть таким же, как и CN в клиентском сертификате.

[Слава Кривошейков]

res2001, Имя совпадает . Мб не .txt ? айпи менял, при перезагрузке не поменялось. Не понял про какой сообщение попробовать

[res2001]

Слава Кривошейков,

Не понял про какой сообщение попробовать

Про поменять адрес в ifconfig-push

айпи менял, при перезагрузке не поменялось

значит ccd файл не используется при подключении.

Расширения у ccd файла быть не должно. Имя файла должно точно совпадать с CN в сертификате клиента.

[Слава Кривошейков]

res2001, Вобщем улов такой :

впн сервер

Wed Apr 27 20:45:00 2022 37.150.43.150:58850 Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, peer certificate: 2048 bit RSA, signature: RSA-SHA256
Wed Apr 27 20:45:00 2022 37.150.43.150:58850 [Home] Peer Connection Initiated with [AF_INET6]::ffff:37.150.43.150:58850
Wed Apr 27 20:45:00 2022 Home/37.150.43.150:58850 MULTI_sva: pool returned IPv4=10.8.0.2, IPv6=(Not enabled)
Wed Apr 27 20:45:00 2022 Home/37.150.43.150:58850 OPTIONS IMPORT: reading client specific options from: C:\Program Files\OpenVPN\config\ccd\Home
Wed Apr 27 20:45:00 2022 Home/37.150.43.150:58850 MULTI: Learn: 10.8.0.66 -> Home/37.150.43.150:58850
Wed Apr 27 20:45:00 2022 Home/37.150.43.150:58850 MULTI: primary virtual IP for Home/37.150.43.150:58850: 10.8.0.66
Wed Apr 27 20:45:00 2022 Home/37.150.43.150:58850 MULTI: internal route 192.168.100.0/24 -> Home/37.150.43.150:58850
Wed Apr 27 20:45:00 2022 Home/37.150.43.150:58850 MULTI: Learn: 192.168.100.0/24 -> Home/37.150.43.150:58850
Wed Apr 27 20:45:00 2022 Home/37.150.43.150:58850 Data Channel: using negotiated cipher 'AES-256-GCM'
Wed Apr 27 20:45:00 2022 Home/37.150.43.150:58850 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Wed Apr 27 20:45:00 2022 Home/37.150.43.150:58850 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Wed Apr 27 20:45:00 2022 Home/37.150.43.150:58850 SENT CONTROL [Home]: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,route-gateway 10.8.0.1,topology subnet,ping 10,ping-restart 120,ifconfig 10.8.0.66 255.255.255.0,peer-id 0,cipher AES-256-GCM' (status=1)

Маршруты впн сервер

Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.245 291
10.8.0.0 255.255.255.0 On-link 192.168.1.245 36
10.8.0.0 255.255.255.0 On-link 10.8.0.1 281
10.8.0.1 255.255.255.255 On-link 10.8.0.1 281
10.8.0.255 255.255.255.255 On-link 192.168.1.245 291
10.8.0.255 255.255.255.255 On-link 10.8.0.1 281
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.1.0 255.255.255.0 On-link 192.168.1.245 291
192.168.1.245 255.255.255.255 On-link 192.168.1.245 291
192.168.1.255 255.255.255.255 On-link 192.168.1.245 291
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 10.8.0.1 281
224.0.0.0 240.0.0.0 On-link 192.168.1.245 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 10.8.0.1 281
255.255.255.255 255.255.255.255 On-link 192.168.1.245 291
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.1.1 По умолчанию
===========================================================================

Айпишник сменился согласно ccd , когда убрал расширение с файла . Но нужного маршрута так и не появилось iroute 192.168.100.0 255.255.255.0

[res2001]

Слава Кривошейков, добавьте в ccd опцию:
route 192.168.100.0 255.255.255.0

[Слава Кривошейков]

res2001,
Вот такая ошибка появилась в логе сервера:
Wed Apr 27 21:08:29 2022 Home/37.150.43.150:55686 Options error: option 'route' cannot be used in this context (C:\Program Files\OpenVPN\config\ccd\Home)

[res2001]

Слава Кривошейков, Ок. Тогда route в основной конфиг, а iroute оставить в ccd.
Возможно это какие-то нюансы на винде. В линухе одни iroute срабатывает.

[Слава Кривошейков]

res2001, Тут я с Вами полностью согласен. Сижу допиливаю сервак на обьекте (2клиент впн с камерами) . Быстренько состряпал и он пингует впн сервак, впн клиента, впн сервак по локал адресу. За то его не пингует не сервер не клиент впн по впн адресу.. бред какой то

2 впн клиент

C:\Users\Администратор>ping 10.8.0.1

Обмен пакетами с 10.8.0.1 по с 32 байтами данных:
Ответ от 10.8.0.1: число байт=32 время=31мс TTL=128
Ответ от 10.8.0.1: число байт=32 время=30мс TTL=128
Ответ от 10.8.0.1: число байт=32 время=31мс TTL=128
Ответ от 10.8.0.1: число байт=32 время=31мс TTL=128

Статистика Ping для 10.8.0.1:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 30мсек, Максимальное = 31 мсек, Среднее = 30 мсек

C:\Users\Администратор>ping 10.8.0.2

Обмен пакетами с 10.8.0.2 по с 32 байтами данных:
Ответ от 10.8.0.2: число байт=32 время=63мс TTL=128
Ответ от 10.8.0.2: число байт=32 время=64мс TTL=128
Ответ от 10.8.0.2: число байт=32 время=63мс TTL=128
Ответ от 10.8.0.2: число байт=32 время=63мс TTL=128

Статистика Ping для 10.8.0.2:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 63мсек, Максимальное = 64 мсек, Среднее = 63 мсек

C:\Users\Администратор>ping 192.168.1.245

Обмен пакетами с 192.168.1.245 по с 32 байтами данных:
Ответ от 192.168.1.245: число байт=32 время=31мс TTL=127
Ответ от 192.168.1.245: число байт=32 время=31мс TTL=127
Ответ от 192.168.1.245: число байт=32 время=31мс TTL=127
Ответ от 192.168.1.245: число байт=32 время=31мс TTL=127

Статистика Ping для 192.168.1.245:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 31мсек, Максимальное = 31 мсек, Среднее = 31 мсек

[res2001]

Слава Кривошейков,

бред какой то

Проверяйте фаервол ни клиенте. В виндовом фаерволе по умолчанию исходящий трафик разрешается (и ответы на исходящий трафик принимаются). Но когда инициатор не локальный компьютер, то по умолчанию трафик блокируется.

Маршурт на сервере добавился в итоге?

[Слава Кривошейков]

res2001, Да, фаервол отключить забыл.. заработался уже .
Маршрут на сервере так и не добавился .

на втором впн клиенте ccd не добавлял iroute . попробовал там добавить айпи камер 172.22.24.0 255.255.248.0 в итоге получил ошибку на адрес и оставил на завтра

Главное что до меня наконец то дошло : что не нужно писать в доп айпи под сети устройств(камер) и прочего . Если все правильно прописано в овпн все и так работает

[res2001]

Слава Кривошейков,

не нужно писать в доп айпи под сети устройств(камер) и прочего

Имеете ввиду вторичный IP в сети камер? Вообще то нужно.
Хотя, вроде как, шлюз в маршруте не обязан находится в той же подсети. Но я это не проверял - где-то когда-то читал. Но это выглядит как-то не правильно, по моему, и я в своей практике никогда так не делал.
Вообще, когда по одному физическому сегменту сети гуляют пакеты из разных IP подсетей - это не очень логично - ведь разделение на подсети сделано для чего-то, а если все пакеты по одним проводам - то смысла в выделении подсетей нет.
Как минимум можно сеть камер выделить в отдельный VLAN на коммутаторе и тем самым физически отделить один трафик от другого. Но это уже не имеет отношения к ВПН.

[res2001]

Слава Кривошейков,

Маршрут на сервере так и не добавился

Сеть за клиентом не будет видна.

[Слава Кривошейков]

res2001, C камерами решил момент, через ПО для камер.
Думаю еще над таким вопросом . А если у меня будет не видеосервер(ПК) , а просто регистратор ... тогда возможен роутер микротик понадобится .ХМ
Сеть за клиентом пока можно отпустить. Интересует почему первый впн клиент не пингует локалку за впн сервером

[res2001]

Слава Кривошейков,

Думаю еще над таким вопросом .

Разницы нет никакой. Любое IP устройство должно иметь настройку шлюза по умолчанию и иметь возможность добавлять статические маршруты. Выглядеть это может по разному, но так или иначе возможность это делать должна быть, иначе TCP/IP не работает.
Даже если вы поставите роутер между сетей, то на камерах все равно надо прописать шлюз по умолчанию, через этот роутер.

Интересует почему первый впн клиент не пингует локалку за впн сервером

1. Проверяйте есть ли на компе за ВПН сервером, который пингуете маршрут до сети 10.8.0.0 через ВПН сервер.
2. Фаерволы на всех промежуточных узлах.

Сеть за клиентом пока можно отпустить

Сеть камер это та же сеть за клиентом, только адреса другие. Так что ее опустить не удастся. И сеть камер и ЛВС за клиентом настраиваются одинаково на ВПН сервере.

[Слава Кривошейков]

res2001, А если просто камеры загнать в подсеть впн? 10.8.1.1 микротик, 10.8.1.2-254 камеры ?
1) сам впн сервер по локальному адресу тоже не пингует, хотя маршруты есть
2) Сразу отключаю, с правилами на данном этапе не замарачиваюсь

Я не понял как прописать локалку камер что видно было , сервер сразу дает ошибку на адрес 172.22.24.0 255.255.248.0

[res2001]

Слава Кривошейков,

А если просто камеры загнать в подсеть впн?

В ВПН сейчас 24 подсеть (т.е. маска 255.255.255.0), а это значит, что подсеть 10.8.1.0/24 - это другая подсеть (не 10.8.0.0/24) и точно так же нужен либо на клиенте адрес в этой подсети, либо шлюз, через который можно с этой подсетью обмениваться трафиком. Т.е. 10.8.1.0/24 ничем не отличается от 172.22.24.0/24.

То что вы пытаетесь тут представить называется бридж (мост). Можно сделать мост на openvpn. Но это не ваш вариант. В этом случае вообще весь трафик всегда будет литься через ВПН. Т.е. весь видеопоток всегда будет литься через ВПН. Думаю это не то что вы хотите. И это совсем другая архитектура сети, не та что мы сейчас пытаемся выстроить. В подавляющем большинстве случаев мост - это не то что нужно.

1) сам впн сервер по локальному адресу тоже не пингует, хотя маршруты есть

Давайте конкретно кого вы там пингуете

Я не понял как прописать локалку камер что видно было

В конфиге ВПН сервера и в ccd клиента опции route и iroute соответственно, аналогично ЛВС за клиентом.
Плюс маршрут к сети камер на компе в сети за сервером, аналогично маршруту для ЛВС за клиентом.

[res2001]

Слава Кривошейков, И надо добиться, чтоб на ВПН сервере добавлялись маршруты в таблицу маршрутизации при подключении клиента.

[Слава Кривошейков]

res2001,
1)С локалкой за сервером разобрался .

2) ( 2 впн клиент) Камеры у нас сейчас за 2ым впн клиентом. Так как там пк, то решение я уже нашел. просто ПО прокинул на сервер уже с готовыми настроенными камерами

3) (3 впн клиент) Сейчас остро интересуют камеры за видеорегистратором за отсутствием пк в сети при помощи прошитого роутера через openwrt (роутер еще не поставил, заранее думаю)

[res2001]

Слава Кривошейков, 3. Ну поставишь ты микротик, а дальше то что? Тебе нужно как-то ответы от видеокамер загонять в ВПН. ВПН может быть на самом микротике или на компе, подключенном к микротику, не важно.
Что бы камера знала куда слать трафик для другой сети у нее либо должен быть настроен маршрут, либо указан шлюз по умолчанию, который будет направлять трафик в правильном направлении.
А у тебя шлюзом по умолчанию на камерах является видео сервер.
И тут уже не важно что у тебя там будет шлюзом - клиент ВПН или микротик - тебе все равно нужно править настройки камер. Мое мнение - роутер нужен, только в том случае, если и ВПН будет на нем. Иначе достаточно компа с ВПН клиентом и адресом в сети камер.
4. openvpn умеет стартовать в качестве службы, без залогиненного пользователя и без GUI.
При установке openvpn в инсталляторе есть галка, что-то типа создавать службу Windows. Если она включена, то после установки служба будет создана. Надо ее только перевести в состояния автостарта.
Но это уже после того, как в ручном режиме все настроишь. Имей ввиду, что служба стартует от другого пользователя (не от того из-под которого работает openvpn в ручном режиме). Надо обеспечить этому пользователю права на чтение ключей и на запись логов.

[res2001]

Слава Кривошейков, По 3 пункту. У тебя же сейчас видео сервер это комп с виндой?
Можно его настроить на маршрутизацию трафика, тогда настройки камер менять не придется, т.к. на камерах шлюзом по умолчанию настроен видео сервер.

С видео регистратором такой номер может не пройти. Хотя большинство виде регистраторов - это просто специализированные компы с линуксом и там то же можно попытаться попробовать такой финт. Но надо глубоко разбираться с конкретным регистратором.
В целом же самый прямой путь - настроить правильно шлюз по умолчанию в камерах. Причем даже если на этапе разворачивания сети камер еще ничего не известно про ВПН и т.п. достаточно просто настроить любой свободный адрес под шлюз по умолчанию. Когда понадобится его использовать просто добавляем шлюз с этим адресом и настраиваем его, камеры перенастраивать не потребуется.

[Слава Кривошейков]

res2001, Планировал на openwrt роутер завязать конкретный файл клиент.ovpn . Подогнать камеры под сеть овпн и на реге тоже поменять. и шлюз на камерах писать впна?

Там только камеры и регистратор, можно баловаться с настройками обоих

Тайминг с 17.30 настройка роутера под ovpn

сыль на видосик

https://www.youtube.com/watch?v=S358miThwdg&list=P...

[res2001]

Слава Кривошейков, На микротиках openvpn какой-то кастрированный. Сам не использовал его на микротиках, но даже тут время от времени проходили сообщения о каких-то странных граблях с этой связкой, в детали не вдавался, т.к. ничего сказать по этому поводу не могу. Попробовать можно. Вроде тут у нас все стандартно, должно работать.
На камерах настраиваешь шлюзом по умолчанию IP адрес микротика в сети камер.

[Слава Кривошейков]

res2001,
Блин... досих пор бьюсь головой почему у серва не появляются маршруты сети клиентов впн, ссd файл с iroute route

[res2001]

Слава Кривошейков, Последний вариант конфига сервера, ccd клиента и логи с сервера и клиента с моментом подключения в студию.

[Слава Кривошейков]

res2001,

конфиг сервера

port 1194
proto udp
dev tun
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\server.crt"
key "C:\\Program Files\\OpenVPN\\config\\server.key" # This file should be kept secret
dh "C:\\Program Files\\OpenVPN\\config\\dh.pem"
topology subnet
server 10.8.0.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
route 192.168.100.0 255.255.255.0
client-config-dir "C:\\Program Files\\OpenVPN\\config\\ccd"
client-to-client
keepalive 10 120
tls-auth "C:\\Program Files\\OpenVPN\\config\\tls-auth.key" 0 # This file is secret
cipher AES-256-CBC
max-clients 1000
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1

ссd клиент

ifconfig-push 10.8.0.2 255.255.255.0

route 192.168.100.0 255.255.255.0

лог сервера

Wed May 4 15:47:59 2022 NOTE: --user option is not implemented on Windows
Wed May 4 15:47:59 2022 NOTE: --group option is not implemented on Windows
Wed May 4 15:47:59 2022 DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-256-CBC' to --data-ciphers or change --cipher 'AES-256-CBC' to --data-ciphers-fallback 'AES-256-CBC' to silence this warning.
Wed May 4 15:47:59 2022 --pull-filter ignored for --mode server
Wed May 4 15:47:59 2022 OpenVPN 2.5.6 Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Mar 16 2022
Wed May 4 15:47:59 2022 Windows version 10.0 (Windows 10 or greater) 64bit
Wed May 4 15:47:59 2022 library versions: OpenSSL 1.1.1n 15 Mar 2022, LZO 2.10
Wed May 4 15:47:59 2022 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Wed May 4 15:47:59 2022 Need hold release from management interface, waiting...
Wed May 4 15:47:59 2022 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Wed May 4 15:47:59 2022 MANAGEMENT: CMD 'state on'
Wed May 4 15:47:59 2022 MANAGEMENT: CMD 'log all on'
Wed May 4 15:47:59 2022 MANAGEMENT: CMD 'echo all on'
Wed May 4 15:47:59 2022 MANAGEMENT: CMD 'bytecount 5'
Wed May 4 15:47:59 2022 MANAGEMENT: CMD 'hold off'
Wed May 4 15:47:59 2022 MANAGEMENT: CMD 'hold release'
Wed May 4 15:47:59 2022 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Wed May 4 15:47:59 2022 Diffie-Hellman initialized with 2048 bit key
Wed May 4 15:47:59 2022 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed May 4 15:47:59 2022 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed May 4 15:47:59 2022 interactive service msg_channel=916
Wed May 4 15:47:59 2022 open_tun
Wed May 4 15:47:59 2022 tap-windows6 device [OpenVPN TAP-Windows6] opened
Wed May 4 15:47:59 2022 TAP-Windows Driver Version 9.24
Wed May 4 15:47:59 2022 Set TAP-Windows TUN subnet mode network/local/netmask = 10.8.0.0/10.8.0.1/255.255.255.0 [SUCCEEDED]
Wed May 4 15:47:59 2022 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.1/255.255.255.0 on interface {81D8ACB4-A086-410F-881A-FB6D22592CEB} [DHCP-serv: 10.8.0.0, lease-time: 31536000]
Wed May 4 15:47:59 2022 Sleeping for 10 seconds...
Wed May 4 15:48:09 2022 Successful ARP Flush on interface [12] {81D8ACB4-A086-410F-881A-FB6D22592CEB}
Wed May 4 15:48:09 2022 MANAGEMENT: >STATE:1651657689,ASSIGN_IP,,10.8.0.1,,,,
Wed May 4 15:48:09 2022 IPv4 MTU set to 1500 on interface 12 using service
Wed May 4 15:48:09 2022 MANAGEMENT: >STATE:1651657689,ADD_ROUTES,,,,,,
Wed May 4 15:48:09 2022 C:\Windows\system32\route.exe ADD 192.168.100.0 MASK 255.255.255.0 10.8.0.2
Wed May 4 15:48:09 2022 Route addition via service succeeded
Wed May 4 15:48:09 2022 Could not determine IPv4/IPv6 protocol. Using AF_INET6
Wed May 4 15:48:09 2022 Socket Buffers: R=[131072->131072] S=[131072->131072]
Wed May 4 15:48:09 2022 setsockopt(IPV6_V6ONLY=0)
Wed May 4 15:48:09 2022 UDPv6 link local (bound): [AF_INET6][undef]:1194
Wed May 4 15:48:09 2022 UDPv6 link remote: [AF_UNSPEC]
Wed May 4 15:48:09 2022 MULTI: multi_init called, r=256 v=256
Wed May 4 15:48:09 2022 IFCONFIG POOL IPv4: base=10.8.0.2 size=253
Wed May 4 15:48:09 2022 Initialization Sequence Completed
Wed May 4 15:48:09 2022 MANAGEMENT: >STATE:1651657689,CONNECTED,SUCCESS,10.8.0.1,,,,
Wed May 4 15:48:14 2022 37.150.43.150:54614 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed May 4 15:48:14 2022 37.150.43.150:54614 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed May 4 15:48:14 2022 37.150.43.150:54614 TLS: Initial packet from [AF_INET6]::ffff:37.150.43.150:54614, sid=0e240efd 403283f9
Wed May 4 15:48:14 2022 37.150.43.150:54614 VERIFY OK: depth=1, CN=server
Wed May 4 15:48:14 2022 37.150.43.150:54614 VERIFY OK: depth=0, CN=Home
Wed May 4 15:48:14 2022 37.150.43.150:54614 peer info: IV_VER=2.5.6
Wed May 4 15:48:14 2022 37.150.43.150:54614 peer info: IV_PLAT=win
Wed May 4 15:48:14 2022 37.150.43.150:54614 peer info: IV_PROTO=6
Wed May 4 15:48:14 2022 37.150.43.150:54614 peer info: IV_NCP=2
Wed May 4 15:48:14 2022 37.150.43.150:54614 peer info: IV_CIPHERS=AES-256-GCM:AES-128-GCM
Wed May 4 15:48:14 2022 37.150.43.150:54614 peer info: IV_LZ4=1
Wed May 4 15:48:14 2022 37.150.43.150:54614 peer info: IV_LZ4v2=1
Wed May 4 15:48:14 2022 37.150.43.150:54614 peer info: IV_LZO=1
Wed May 4 15:48:14 2022 37.150.43.150:54614 peer info: IV_COMP_STUB=1
Wed May 4 15:48:14 2022 37.150.43.150:54614 peer info: IV_COMP_STUBv2=1
Wed May 4 15:48:14 2022 37.150.43.150:54614 peer info: IV_TCPNL=1
Wed May 4 15:48:14 2022 37.150.43.150:54614 peer info: IV_GUI_VER=OpenVPN_GUI_11
Wed May 4 15:48:14 2022 37.150.43.150:54614 peer info: IV_SSO=openurl,crtext
Wed May 4 15:48:14 2022 37.150.43.150:54614 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1557', remote='link-mtu 1549'
Wed May 4 15:48:14 2022 37.150.43.150:54614 WARNING: 'auth' is used inconsistently, local='auth SHA1', remote='auth [null-digest]'
Wed May 4 15:48:14 2022 37.150.43.150:54614 Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, peer certificate: 2048 bit RSA, signature: RSA-SHA256
Wed May 4 15:48:14 2022 37.150.43.150:54614 [Home] Peer Connection Initiated with [AF_INET6]::ffff:37.150.43.150:54614
Wed May 4 15:48:14 2022 Home/37.150.43.150:54614 MULTI_sva: pool returned IPv4=10.8.0.2, IPv6=(Not enabled)
Wed May 4 15:48:14 2022 Home/37.150.43.150:54614 OPTIONS IMPORT: reading client specific options from: C:\Program Files\OpenVPN\config\ccd\Home
Wed May 4 15:48:14 2022 Home/37.150.43.150:54614 Options error: option 'route' cannot be used in this context (C:\Program Files\OpenVPN\config\ccd\Home)
Wed May 4 15:48:14 2022 Home/37.150.43.150:54614 MULTI: Learn: 10.8.0.2 -> Home/37.150.43.150:54614
Wed May 4 15:48:14 2022 Home/37.150.43.150:54614 MULTI: primary virtual IP for Home/37.150.43.150:54614: 10.8.0.2
Wed May 4 15:48:14 2022 Home/37.150.43.150:54614 Data Channel: using negotiated cipher 'AES-256-GCM'
Wed May 4 15:48:14 2022 Home/37.150.43.150:54614 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Wed May 4 15:48:14 2022 Home/37.150.43.150:54614 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Wed May 4 15:48:14 2022 Home/37.150.43.150:54614 SENT CONTROL [Home]: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,route-gateway 10.8.0.1,topology subnet,ping 10,ping-restart 120,ifconfig 10.8.0.2 255.255.255.0,peer-id 0,cipher AES-256-GCM' (status=1)

[Слава Кривошейков]

res2001,

лог клиента

Wed May 4 15:48:13 2022 NOTE: --user option is not implemented on Windows
Wed May 4 15:48:13 2022 NOTE: --group option is not implemented on Windows
Wed May 4 15:48:13 2022 OpenVPN 2.5.6 Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Mar 16 2022
Wed May 4 15:48:13 2022 Windows version 10.0 (Windows 10 or greater) 64bit
Wed May 4 15:48:13 2022 library versions: OpenSSL 1.1.1n 15 Mar 2022, LZO 2.10
Wed May 4 15:48:13 2022 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Wed May 4 15:48:13 2022 Need hold release from management interface, waiting...
Wed May 4 15:48:13 2022 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Wed May 4 15:48:13 2022 MANAGEMENT: CMD 'state on'
Wed May 4 15:48:13 2022 MANAGEMENT: CMD 'log all on'
Wed May 4 15:48:13 2022 MANAGEMENT: CMD 'echo all on'
Wed May 4 15:48:13 2022 MANAGEMENT: CMD 'bytecount 5'
Wed May 4 15:48:13 2022 MANAGEMENT: CMD 'hold off'
Wed May 4 15:48:13 2022 MANAGEMENT: CMD 'hold release'
Wed May 4 15:48:13 2022 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed May 4 15:48:13 2022 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed May 4 15:48:13 2022 TCP/UDP: Preserving recently used remote address: [AF_INET]95.58.216.142:1194
Wed May 4 15:48:13 2022 Socket Buffers: R=[245760->245760] S=[81920->81920]
Wed May 4 15:48:13 2022 UDP link local: (not bound)
Wed May 4 15:48:13 2022 UDP link remote: [AF_INET]95.58.216.142:1194
Wed May 4 15:48:13 2022 MANAGEMENT: >STATE:1651657693,WAIT,,,,,,
Wed May 4 15:48:13 2022 MANAGEMENT: >STATE:1651657693,AUTH,,,,,,
Wed May 4 15:48:13 2022 TLS: Initial packet from [AF_INET]95.58.216.142:1194, sid=05cf0d11 7a059708
Wed May 4 15:48:13 2022 VERIFY OK: depth=1, CN=server
Wed May 4 15:48:13 2022 VERIFY KU OK
Wed May 4 15:48:13 2022 Validating certificate extended key usage
Wed May 4 15:48:13 2022 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Wed May 4 15:48:13 2022 VERIFY EKU OK
Wed May 4 15:48:13 2022 VERIFY OK: depth=0, CN=server
Wed May 4 15:48:13 2022 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1549', remote='link-mtu 1557'
Wed May 4 15:48:13 2022 WARNING: 'auth' is used inconsistently, local='auth [null-digest]', remote='auth SHA1'
Wed May 4 15:48:13 2022 Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, peer certificate: 2048 bit RSA, signature: RSA-SHA256
Wed May 4 15:48:13 2022 [server] Peer Connection Initiated with [AF_INET]95.58.216.142:1194
Wed May 4 15:48:13 2022 PUSH: Received control message: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,route-gateway 10.8.0.1,topology subnet,ping 10,ping-restart 120,ifconfig 10.8.0.2 255.255.255.0,peer-id 0,cipher AES-256-GCM'
Wed May 4 15:48:13 2022 OPTIONS IMPORT: timers and/or timeouts modified
Wed May 4 15:48:13 2022 OPTIONS IMPORT: --ifconfig/up options modified
Wed May 4 15:48:13 2022 OPTIONS IMPORT: route options modified
Wed May 4 15:48:13 2022 OPTIONS IMPORT: route-related options modified
Wed May 4 15:48:13 2022 OPTIONS IMPORT: peer-id set
Wed May 4 15:48:13 2022 OPTIONS IMPORT: adjusting link_mtu to 1624
Wed May 4 15:48:13 2022 OPTIONS IMPORT: data channel crypto options modified
Wed May 4 15:48:13 2022 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Wed May 4 15:48:13 2022 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Wed May 4 15:48:13 2022 interactive service msg_channel=656
Wed May 4 15:48:15 2022 RESOLVE: Cannot resolve host address: add: (Ýòîò õîñò íåèçâåñòåí. )
Wed May 4 15:48:15 2022 OpenVPN ROUTE: failed to parse/resolve route for host/network: add
Wed May 4 15:48:15 2022 open_tun
Wed May 4 15:48:15 2022 tap-windows6 device [OpenVPN TAP-Windows6] opened
Wed May 4 15:48:15 2022 TAP-Windows Driver Version 9.24
Wed May 4 15:48:15 2022 Set TAP-Windows TUN subnet mode network/local/netmask = 10.8.0.0/10.8.0.2/255.255.255.0 [SUCCEEDED]
Wed May 4 15:48:15 2022 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.2/255.255.255.0 on interface {D502E3A3-2905-4A16-B77F-2E45BD5CF6E1} [DHCP-serv: 10.8.0.0, lease-time: 31536000]
Wed May 4 15:48:15 2022 Successful ARP Flush on interface [16] {D502E3A3-2905-4A16-B77F-2E45BD5CF6E1}
Wed May 4 15:48:15 2022 MANAGEMENT: >STATE:1651657695,ASSIGN_IP,,10.8.0.2,,,,
Wed May 4 15:48:15 2022 IPv4 MTU set to 1500 on interface 16 using service
Wed May 4 15:48:20 2022 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
Wed May 4 15:48:20 2022 MANAGEMENT: >STATE:1651657700,ADD_ROUTES,,,,,,
Wed May 4 15:48:20 2022 C:\WINDOWS\system32\route.exe ADD 192.168.1.0 MASK 255.255.255.0 10.8.0.1
Wed May 4 15:48:20 2022 Route addition via service succeeded
Wed May 4 15:48:20 2022 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Wed May 4 15:48:20 2022 Initialization Sequence Completed
Wed May 4 15:48:20 2022 MANAGEMENT: >STATE:1651657700,CONNECTED,SUCCESS,10.8.0.2,95.58.216.142,1194,,

Маршруты клиент

Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.100.2 192.168.100.245 36
10.8.0.0 255.255.255.0 On-link 10.8.0.2 281
10.8.0.2 255.255.255.255 On-link 10.8.0.2 281
10.8.0.255 255.255.255.255 On-link 10.8.0.2 281
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.1.0 255.255.255.0 10.8.0.1 10.8.0.2 281
192.168.100.0 255.255.255.0 On-link 192.168.100.245 291
192.168.100.245 255.255.255.255 On-link 192.168.100.245 291
192.168.100.255 255.255.255.255 On-link 192.168.100.245 291
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 10.8.0.2 281
224.0.0.0 240.0.0.0 On-link 192.168.100.245 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 10.8.0.2 281
255.255.255.255 255.255.255.255 On-link 192.168.100.245 291
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.100.2 1

[Слава Кривошейков]

res2001,

Маршруты сервер

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.245 291
10.8.0.0 255.255.255.0 On-link 192.168.1.245 36
10.8.0.0 255.255.255.0 On-link 10.8.0.1 281
10.8.0.1 255.255.255.255 On-link 10.8.0.1 281
10.8.0.255 255.255.255.255 On-link 192.168.1.245 291
10.8.0.255 255.255.255.255 On-link 10.8.0.1 281
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.1.0 255.255.255.0 On-link 192.168.1.245 291
192.168.1.245 255.255.255.255 On-link 192.168.1.245 291
192.168.1.255 255.255.255.255 On-link 192.168.1.245 291
192.168.100.0 255.255.255.0 On-link 192.168.1.245 36
192.168.100.0 255.255.255.0 10.8.0.2 10.8.0.1 281
192.168.100.255 255.255.255.255 On-link 192.168.1.245 291
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 10.8.0.1 281
224.0.0.0 240.0.0.0 On-link 192.168.1.245 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 10.8.0.1 281
255.255.255.255 255.255.255.255 On-link 192.168.1.245 291
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.1.1 По умолчанию

Пинг с сервера на локал адрес впн клиента

C:\Users\Администратор>ping 192.168.100.245

Обмен пакетами с 192.168.100.245 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 192.168.100.245:
Пакетов: отправлено = 4, получено = 0, потеряно = 4
(100% потерь)

ЗЫ с впн клиента локалка за сервером полностью доступна
Брандмауэр на впн клиенте отключен полностью

[res2001]

Слава Кривошейков, 1. В ccd должна быть опция iroute, а в основном конфиге сервера route! Так сделано, потому что фактически маршрутизация разделена на 2 части - одна происходит в ОС (route), а вторая в openvpn (iroute).
2. Судя по логу маршрут добавляется сразу после старта сервера, еще до подключения клиента. Так и должно быть:

Wed May 4 15:48:09 2022 C:\Windows\system32\route.exe ADD 192.168.100.0 MASK 255.255.255.0 10.8.0.2
Wed May 4 15:48:09 2022 Route addition via service succeeded

Посмотрите таблицу маршрутизации сразу после старта сервера и после подключения клиента.

[res2001]

Слава Кривошейков, Маршрут на сервере добавился:

192.168.100.0 255.255.255.0 10.8.0.2 10.8.0.1 281

Но помимо этого там же есть еще 2 маршрута:

192.168.100.0 255.255.255.0 On-link 192.168.1.245 36
192.168.100.255 255.255.255.255 On-link 192.168.1.245 291

Как они туда попали?
У первого из них метрика (последняя цифра в строке) 36, а у маршрута на 10.8.0.1 метрика 281, т.к. маршруты оба маршрута для одной и той же сети, то для выбора используется метрика - выбирается маршрут у которого метрика меньше.

[res2001]

Слава Кривошейков, Завершите openvpn на сервере полностью.
Посмотрите таблицу маршрутизации.
Если остались маршруты для сети 192.168.100.0, то удалите их с помощью route delete.
Перезагрузите винду, проверьте таблицу маршуртизации еще раз. После перезагрузки и до старта openvpn маршрутов к 192.168.100.0 не должно быть.

[res2001]

res2001,

192.168.100.255 255.255.255.255 On-link 192.168.1.245 291

Этот маршрут то же надо удалить.

[Слава Кривошейков]

res2001,

До старта сервера

Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.245 291
10.8.0.0 255.255.255.0 On-link 192.168.1.245 36
10.8.0.255 255.255.255.255 On-link 192.168.1.245 291
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.1.0 255.255.255.0 On-link 192.168.1.245 291
192.168.1.245 255.255.255.255 On-link 192.168.1.245 291
192.168.1.255 255.255.255.255 On-link 192.168.1.245 291
192.168.100.0 255.255.255.0 On-link 192.168.1.245 36
192.168.100.255 255.255.255.255 On-link 192.168.1.245 291
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.1.245 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.1.245 291

После старта сервера

Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.245 291
10.8.0.0 255.255.255.0 On-link 192.168.1.245 36
10.8.0.0 255.255.255.0 On-link 10.8.0.1 281
10.8.0.1 255.255.255.255 On-link 10.8.0.1 281
10.8.0.255 255.255.255.255 On-link 192.168.1.245 291
10.8.0.255 255.255.255.255 On-link 10.8.0.1 281
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.1.0 255.255.255.0 On-link 192.168.1.245 291
192.168.1.245 255.255.255.255 On-link 192.168.1.245 291
192.168.1.255 255.255.255.255 On-link 192.168.1.245 291
192.168.100.0 255.255.255.0 On-link 192.168.1.245 36
192.168.100.0 255.255.255.0 10.8.0.2 10.8.0.1 281
192.168.100.255 255.255.255.255 On-link 192.168.1.245 291
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 10.8.0.1 281
224.0.0.0 240.0.0.0 On-link 192.168.1.245 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 10.8.0.1 281
255.255.255.255 255.255.255.255 On-link 192.168.1.245 291
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.1.1 По умолчанию

После запуска сервера и клиента

Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.245 291
10.8.0.0 255.255.255.0 On-link 192.168.1.245 36
10.8.0.0 255.255.255.0 On-link 10.8.0.1 281
10.8.0.1 255.255.255.255 On-link 10.8.0.1 281
10.8.0.255 255.255.255.255 On-link 192.168.1.245 291
10.8.0.255 255.255.255.255 On-link 10.8.0.1 281
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.1.0 255.255.255.0 On-link 192.168.1.245 291
192.168.1.245 255.255.255.255 On-link 192.168.1.245 291
192.168.1.255 255.255.255.255 On-link 192.168.1.245 291
192.168.100.0 255.255.255.0 On-link 192.168.1.245 36
192.168.100.0 255.255.255.0 10.8.0.2 10.8.0.1 281
192.168.100.255 255.255.255.255 On-link 192.168.1.245 291
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 10.8.0.1 281
224.0.0.0 240.0.0.0 On-link 192.168.1.245 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 10.8.0.1 281
255.255.255.255 255.255.255.255 On-link 192.168.1.245 291
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.1.1 По умолчанию

Но помимо этого там же есть еще 2 маршрута:
192.168.100.0 255.255.255.0 On-link 192.168.1.245 36
192.168.100.255 255.255.255.255 On-link 192.168.1.245 291

Как они туда попали?

Не могу обьяснить , все конфиги видели сами. В доп адресов указанных нету, все вычистил

С полностью выключенным OVPN и остановленной службой ovpn

Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.245 291
10.8.0.0 255.255.255.0 On-link 192.168.1.245 36
10.8.0.255 255.255.255.255 On-link 192.168.1.245 291
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.1.0 255.255.255.0 On-link 192.168.1.245 291
192.168.1.245 255.255.255.255 On-link 192.168.1.245 291
192.168.1.255 255.255.255.255 On-link 192.168.1.245 291
192.168.100.0 255.255.255.0 On-link 192.168.1.245 36
192.168.100.255 255.255.255.255 On-link 192.168.1.245 291
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.1.245 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.1.245 291
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.1.1 По умолчанию>

[res2001]

Слава Кривошейков, Маршруты не удаляются с помощью route delete 192.168.100.0?
Если сразу посмотреть таблицу маршрутизации после команды? Сама команда ошибки выдает?
На сервере нет сетевых адаптеров с вторичным адресом из сети 192.168.100.0?

[Слава Кривошейков]

res2001, На сервер нет больше сетевых адаптеров . Есть еще 2 впн клиент с такой же подсетью 192.168.100.1(роутер) , но там в ccd я не чего не прописывал кроме ip 10.8.0.3.

Не пробовал удалять.
Связь с сервером потерял, завтра проверю

[res2001]

Слава Кривошейков,

Есть еще 2 впн клиент с такой же подсетью 192.168.100.1(роутер) , но там в ccd я не чего не прописывал кроме ip 10.8.0.3.

Это не считается. В данном случае маршрут существует даже без запущенного openvpn. Значит он появился откуда то вне openvpn.
Если route delete маршурт удалит успешно и после перезагрузки он не появится опять, то не важно откуда он взялся. Иначе, придется искать, откуда растут ноги у этого маршрута.

Кстати, если потребуется доступ к сети за этим вторым клиентом, то придется как-то решать вопрос с пересекающимися подсетями. Обычно правильней всего - изменить адресацию в одной из сетей, но это может быть не всегда возможно.

[Слава Кривошейков]

res2001, Перезапустил сервер, картинка с подключенным клиентом впн на сервере такая:

Сервер

Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.245 291
10.8.0.0 255.255.255.0 On-link 10.8.0.1 281
10.8.0.1 255.255.255.255 On-link 10.8.0.1 281
10.8.0.255 255.255.255.255 On-link 10.8.0.1 281
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.1.0 255.255.255.0 On-link 192.168.1.245 291
192.168.1.245 255.255.255.255 On-link 192.168.1.245 291
192.168.1.255 255.255.255.255 On-link 192.168.1.245 291
192.168.100.0 255.255.255.0 10.8.0.2 10.8.0.1 281
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 10.8.0.1 281
224.0.0.0 240.0.0.0 On-link 192.168.1.245 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 10.8.0.1 281
255.255.255.255 255.255.255.255 On-link 192.168.1.245 291
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.1.1 По умолчанию

Пинг с сервера до локального адреса 1ого впн клиента пошел
За 2ым впн клиентом локалка не интересует

[res2001]

Слава Кривошейков, Маршрут на месте, лишних маршрутов нет.
Теперь пинги с сервера на компы в сети за клиентом должны проходить.

[Слава Кривошейков]

res2001, а подсеть камер 2впн клиент не принимает

С сервера

Thu May 5 14:24:40 2022 mobile/82.200.254.66:2483 Options error: in --iroute 172.22.28.0 255.255.248.0 : Bad network/subnet specification

[res2001]

Слава Кривошейков, Видимо из-за сочетания адреса подсети 28.0 и маски 248.0.
Дело в том, что для адреса подсети 28.0 маска 248.0 не подходит.
Для такой маски адрес 28.0 - это адрес узла, а не подсети. Для подсети в таком случае адрес 24.0.
Если адрес подсети реально должен быть 28.0, то маска должна быть 252.0.

Что у вас фактически на камерах настроено? Какой диапазон адресов из этой подсети реально используется?

Для справки - в подсети с маской 248.0 - может быть до 2048 узлов. Для подсети 252.0 - 1024 узла.
Вам реально требуется такое количество узлов (камер) в этой подсети?

[Слава Кривошейков]

res2001,

spoiler

[res2001]

Слава Кривошейков, Как я и писал выше в такой конфигурации адрес подсети: 172.22.24.0, маска 255.255.248.0.
Этот адрес и маску указывайте в настройках openvpn.
PS: Чтоб вычислить адрес подсети надо сделать операцию побитового И над IP адресом и маской.
PPS: Но что-то я сомневаюсь, что вам реально требуется такая маска. Обычно для разбиения на подсети выбирают такой диапазон адресов (адрес и маску подсети), в который бы помещалось необходимое количество узлов + 10-20% на расширение. Самая распространенная подсеть с маской 24 (255.255.255.0), она достаточно маленькая, ее удобно запоминать и просто вычислять адреса узлов и подсети.

[Seraphimchick]

res2001,
Добрый день!
Извиняюсь, что поднимаю закрытую тему, но мучаюсь не первую неделю уже
Исходные данные:
Имею сервер в локальной сети 192.168.10.0 mask 255.255.0.0( ip машины сервера 192.168.49.51 )
Клиент в лок.сети 192.168.31.0 mask 255.255.255.0( ip машины клиента 192.168.31.53 )
Связь между VPN клиентом( 10.8.0.2 ) и сервером( 10.8.0.1 ) выстраивается
Они друг друга пингуют

Пинг со стороны сервера на клиент

C:\Users\Админ>ping 10.8.0.2

Обмен пакетами с 10.8.0.2 по с 32 байтами данных:
Ответ от 10.8.0.2: число байт=32 время=4мс TTL=128
Ответ от 10.8.0.2: число байт=32 время=4мс TTL=128
Ответ от 10.8.0.2: число байт=32 время=3мс TTL=128
Ответ от 10.8.0.2: число байт=32 время=4мс TTL=128

Статистика Ping для 10.8.0.2:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 3мсек, Максимальное = 4 мсек, Среднее = 3 мсек

Пинг со стороны клиента на сервер

C:\Users\Клиент>ping 10.8.0.1

Обмен пакетами с 10.8.0.1 по с 32 байтами данных:
Ответ от 10.8.0.1: число байт=32 время=4мс TTL=128
Ответ от 10.8.0.1: число байт=32 время=4мс TTL=128
Ответ от 10.8.0.1: число байт=32 время=4мс TTL=128
Ответ от 10.8.0.1: число байт=32 время=3мс TTL=128

Статистика Ping для 10.8.0.1:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 3мсек, Максимальное = 4 мсек, Среднее = 3 мсек

Пинг с сервера на клиент ПК

C:\Users\Админ>ping 192.168.31.53

Обмен пакетами с 192.168.31.53 по с 32 байтами данных:
Ответ от 192.168.31.53: число байт=32 время=3мс TTL=127
Ответ от 192.168.31.53: число байт=32 время=4мс TTL=127
Ответ от 192.168.31.53: число байт=32 время=4мс TTL=127
Ответ от 192.168.31.53: число байт=32 время=4мс TTL=127

Статистика Ping для 192.168.31.53:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 3мсек, Максимальное = 4 мсек, Среднее = 3 мсек

Пинг с клиента на сервер ПК

C:\Users\Клиент>ping 192.168.49.51

Обмен пакетами с 192.168.49.51 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 192.168.49.51:
Пакетов: отправлено = 4, получено = 0, потеряно = 4
(100% потерь)

Таблица маршрутов сервера до запуска ovpn

Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.10.0 192.168.49.51 25
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.0.0 255.255.0.0 On-link 192.168.49.51 281
192.168.49.51 255.255.255.255 On-link 192.168.49.51 281
192.168.255.255 255.255.255.255 On-link 192.168.49.51 281
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.49.51 281
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.49.51 281
===========================================================================
Постоянные маршруты:
Отсутствует

Таблица маршрутов клиента до запуска ovpn

Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.31.1 192.168.31.53 55
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.31.0 255.255.255.0 On-link 192.168.31.53 311
192.168.31.53 255.255.255.255 On-link 192.168.31.53 311
192.168.31.255 255.255.255.255 On-link 192.168.31.53 311
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.31.53 311
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.31.53 311
===========================================================================
Постоянные маршруты:
Отсутствует

Таблица маршрутов после запуска ovpn на сервере

Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.10.0 192.168.49.51 25
10.8.0.0 255.255.255.0 On-link 10.8.0.1 281
10.8.0.1 255.255.255.255 On-link 10.8.0.1 281
10.8.0.255 255.255.255.255 On-link 10.8.0.1 281
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.0.0 255.255.0.0 On-link 192.168.49.51 281
192.168.31.0 255.255.255.0 10.8.0.2 10.8.0.1 26
192.168.49.51 255.255.255.255 On-link 192.168.49.51 281
192.168.255.255 255.255.255.255 On-link 192.168.49.51 281
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 10.8.0.1 281
224.0.0.0 240.0.0.0 On-link 192.168.49.51 281
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 10.8.0.1 281
255.255.255.255 255.255.255.255 On-link 192.168.49.51 281
===========================================================================
Постоянные маршруты:
Отсутствует

Таблица маршрутов на клиенте после запуска ovpn

Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.31.1 192.168.31.53 55
10.8.0.0 255.255.255.0 On-link 10.8.0.2 281
10.8.0.2 255.255.255.255 On-link 10.8.0.2 281
10.8.0.255 255.255.255.255 On-link 10.8.0.2 281
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.10.0 255.255.255.0 10.8.0.1 10.8.0.2 26
192.168.31.0 255.255.255.0 On-link 192.168.31.53 311
192.168.31.53 255.255.255.255 On-link 192.168.31.53 311
192.168.31.255 255.255.255.255 On-link 192.168.31.53 311
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 10.8.0.2 281
224.0.0.0 240.0.0.0 On-link 192.168.31.53 311
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 10.8.0.2 281
255.255.255.255 255.255.255.255 On-link 192.168.31.53 311
===========================================================================
Постоянные маршруты:
Отсутствует

Конфиг сервера

proto udp
port 1194
dev tun
tls-server
topology subnet
route-method exe
route-delay 10
server 10.8.0.0 255.255.255.0
client-config-dir "C:\\Program Files\\OpenVPN\\ccd"
ca "C:\\Program Files\\OpenVPN\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\keys\\server.crt"
key "C:\\Program Files\\OpenVPN\\keys\\server.key"
dh "C:\\Program Files\\OpenVPN\\keys\\dh2048.pem"
tls-auth "C:\\Program Files\\OpenVPN\\keys\\ta.key" 0
client-to-client
cipher AES-256-CBC
push "route 192.168.10.0 255.255.255.0"
route 192.168.31.0 255.255.255.0
comp-lzo
persist-key
persist-tun
verb 1
keepalive 5 60
status "C:\\Program Files\\OpenVPN\\log\\status.log"
log "C:\\Program Files\\OpenVPN\\log\\openvpn.log"

Файл ccd

ifconfig-push 10.8.0.2 255.255.255.0
iroute 192.168.31.0 255.255.255.0

Конфиг клиента

client
dev tun
proto udp
port 1194
remote ddns server
tls-client
remote-cert-tls server
route-method exe
route-delay 10
pull
ca "C:\\Program Files\\OpenVPN\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\keys\\koroleva.crt"
key "C:\\Program Files\\OpenVPN\\keys\\koroleva.key"
tls-auth "C:\\Program Files\\OpenVPN\\keys\\ta.key" 1
cipher AES-256-CBC
comp-lzo
persist-key
persist-tun
verb 1
keepalive 5 60

Но попасть за сеть за сервером не могу со стороны клиента
В обратную сторону пинг идет. То есть с сервера я пингую клиента без проблем

И сервер и клиент установлены на Windows 10
На время испытаний брандмаэур вырублен
В реестре и на клиенте и на сервере стоит 1 в Iprouting
И клиент и сервер от имени администратора запускаю

Ещё момент, что я на роутере( серверном — такая теперь 192.168.10.0 ) менял локалку, и маска ставилась только 255.255.0.0. Не знаю, может и она муть также наводит

Подскажите, пожалуйста, что мне надо исправить и добавить, чтобы видеть локалки друг друга?

[res2001]

Seraphimchick, Вопрос еще актуален? Лучше создать новый вопрос и можете позвать меня туда.

Обратите внимание:

Имею сервер в локальной сети 192.168.10.0 mask 255.255.0.0

У вас сервер находится в подсети 192.168.0.0/16. Для него адрес клиента 192.168.49.51 является адресом в его же подсети и он пытается отправлять пинги напрямую в свою локальную сеть, из-за чего клиент ВПН не получает пинги и не отправляет ответы на них. Т.е. тут дело не в ВПН, а в кривых настройках сети.
Предполагаю, что вам нужно поменять маску подсети сервера на 255.255.255.0. Если по каким-то причинам это не возможно, то надо дальше думать как выйти из ситуации.

Answer 2

[mureevms]

По мотивам комментов решил описать как должно работать в теории. Специально обернул таким тегом, чтобы не париться с html списком, это боль, когда уже православный markdown сделают.

1. При поднятом туннеле между клиентом и сервером есть коннект по дефолту, ничего дополнительно делать не требуется.

Клиент > сервер
2. Чтобы дать клиенту доступ в сеть за сервером, надо (сделать все пункты):
	2.1. На сервере в конфиге OVPN сервера сделать пуш нужной подсети
	2.2. На сервере разрешить форвардинг между OVPN подсетью и локальной (которая за сервером)
2.x. Если за сервером несколько подсетей, повторить для каждой
3. Чтобы сети за клиентом дать доступ к сети за сервером надо сделать п.2 и далее два варианта (или/или):
	3.1. Если клиент является шлюзом для своей локальной сети
		3.1.1. На клиенте разрешить форвардинг между OVPN подсетью и локальной (которая за клиентом)
	3.2. Если клиент НЕ является шлюзом для локальной сети, надо выполнить п. 3.1.1 и
		3.2.1. На каждой машине в локальной сети (которая за клиентом) прописать роут до ВПН подсети через хост на котором установлен клиент
3.x. Если за клиентом несколько подсетей, повторить для каждой

Сервер > клиент
4. Чтобы дать серверу доступ в сеть за клиентом надо выполнить п.2 и
	4.1. На клиенте разрешить форвардинг между OVPN подсетью и локальной (которая за клиентом)
4.x. Если за клиентом несколько подсетей, повторить для каждой
5. Чтобы сети за сервером дать доступ к сети за клиентом надо сделать п.2, п.3 и (или/или):
	5.1. Если сервер является шлюзом для своей локальной сети
		5.1.1. На сервере разрешить форвардинг между OVPN подсетью и локальной (которая за сервером)
	5.2. Если сервер НЕ является шлюзом для локальной сети, надо выполнить п. 5.1.1 и
		5.2.1. На каждой машине в локальной сети (которая за сервером) прописать роут до ВПН подсети через хост на котором установлен сервер
5.x. Если за клиентом несколько подсетей, повторить для каждой

Клиент <> сервер
6. Чтобы сети и за клиентом и за сервером видели друг друга, надо сделать все пункты.

Еще важный и не всегда очевидный момент, подсети всех объединяемых локальных сетей не должны пересекаться, т.е. не должны быть одинаковыми или не входить одна в другую.

Comments

[Слава Кривошейков]

Как разрешить "форвардинг" линух что ли ? а win . Можно теперь практически по подробнее

[mureevms]

Слава Кривошейков, не знаю, давно с виндой не работаю. Тут верно описано для Линукс, вероятно и для Винды правдоподобно

[Слава Кривошейков]

mureevms,
Вот что прочитал, но это все на линухе....

spoiler

Чтобы проиллюстрировать это примером, предположим, что в локальной сети на стороне сервера используется подсеть 10.66.0.0/24 и для пула VPN-адресов используется 10.8.0.0/24, о чем говорится в директиве server в файле конфигурации OpenVPN-сервера.

Во-первых, вы должны сообщить VPN-клиентам, что подсеть 10.66.0.0/24 доступна через VPN. Это легко можно сделать с помощью следующих директив в конфигурационном файле сервера:

push "route 10.66.0.0 255.255.255.0"
Далее, необходимо настроить на LAN- шлюзе в сети сервера маршрут для маршрутизации пакетов, предназначенных для подсети VPN-клиентов (10.8.0.0/24) через OpenVPN-сервер (это необходимо только тогда, когда сервер OpenVPN и LAN-шлюз – разные машины).

Убедитесь, что вы включили пересылку для IP (ip-forwarding) (параметр ядра net.ipv4.ip_forward должен быть равен 1) и TUN/TAP на машине OpenVPN-сервера.