Как настроить маршрутизацию c OpenVPN?

Question

[BERLINN1976]

Добрый день.

Прошу помощи.

Имеется 3 локации:

локация №1 - локальная сеть (192.168.30.1) под управлением Keenetic Giga3, белый ip

локация №2 - локальная сеть (192.168.20.1) под управлением Keenetic Giga3, белый ip

Локация №3 - ноутбук подключенный к интернету Starlink.

Между локациями №1 и №2 поднят VPN PPTP в обе стороны (+настроены маршруты)

Между локацией №3 и №1 поднят OpenVPN, ноутбук в качестве клиента, локальная сеть локации №1 доступна из локации №3 (добавлен маршрута в локалку локации №1 через шлюз OpenVPN (в 192.168.30.0 через 10.1.0.1))

Как правильно настроить OpenVPN и маршруты для доступа в локалку 192.168.20.0 на локации №3?

Заранее благодарю.

Comments

[Ivan Ustûžanin]

ЕМНИП без добавления маршрута на шлюзе для №2 к OpenVPN через №1 никак, т.е. обе стороны должны знать куда отправлять пакеты

а вообще в чем собственно проблема?

[BERLINN1976]

IvanU7n, можете подсказать какие маршруты через какие шлюзы и где?

[Ivan Ustûžanin]

BERLINN1976,
предполагая что в №1 шлюз 192.168.30.1 и для OpenVPN, и в принципе единственные шлюзы
на №2 к сети 10.1.0.1 через 192.168.20.1
на №3 так же к сети 192.168.20.1 через 10.1.0.1
по идее должно работать

но я не сетевой админ, так что возможно всякое, и поэтому комментарий, а не ответ

[BERLINN1976]

IvanU7n, ок, спасибо. завтра попробую

[BERLINN1976]

IvanU7n, не заработало, пинга нету ни в одну из сторон

[ValdikSS]

Нужно:
* Добавить маршрут к обоим сетям на клиенте («Локация №3») через VPN-интерфейс
* Добавить маршрут ко всем сетям на всех роутерах через соответствующие VPN-интерфейсы
* Убедиться, что везде отсутствуют блокирующие правила межсетевого экрана

Адрес маршрутизации (через какой IP-адрес маршрутизировать) указывать не требуется: и PPTP, и OpenVPN TUN предоставляют только L3-туннель, маршрутизировать через другие адреса в них не получится. Желательно не указывать адреса маршрутизации, чтобы не запутаться в дальнейшем (они игнорируются, пакет всегда отправляется на IP-адрес сервера, маршрутизация через другие адреса невозможна)

[BERLINN1976]

ValdikSS, можно с конкретикой? и с объяснением какой маршрут для чего нужен?

[ValdikSS]

BERLINN1976,
* Настраиваете любой туннель между локациями #1 и #2 (один туннель, а не два)
* Добавляете маршрут до 192.168.20.0/24 в локации #1 через сетевой интерфейс локации #2
* Добавляете маршрут до 192.168.30.0/24 в локации #2 через сетевой интерфейс локации #1
* Убеждаетесь, что пакеты корректно маршрутизируются в обе стороны, все нужные хосты обоих сетей доступны через VPN
* В локации #1 настраваете OpenVPN-сервер, убеждаетесь, что правила маршрутизации и файрволла разрешают маршрутизацию в обе сети
* В конфигурационный файл OpenVPN клиента добавляете:

route 192.168.20.0 255.255.255.0
route 192.168.30.0 255.255.255.0

[BERLINN1976]

ValdikSS,
сделал, не заработало
Добавил маршрут до 192.168.20.0/24 в локации #1 через сетевой интерфейс локации #2,
но при этом в локации №1 этот маршрут не появился в таблице действующих маршрутов

[ValdikSS]

BERLINN1976, значит, вы не добавили маршрут. Нужно добавить так, чтобы маршрут появился в списке действующих.

[BERLINN1976]

ValdikSS, включил переключатель "эксклюзивный", маршрут появился, но помечен красным кружком.
пинг до локации №2 не заработал

[ValdikSS]

BERLINN1976, отлаживайте причину проблемы и обращайтесь к документации, в таком случае.

[BERLINN1976]

BERLINN1976, без этого маршрута есть трассировка до шлюза OpenVPN (10.1.0.1), с маршрутом трассировки до шлюза нету

[BERLINN1976]

ValdikSS, с маршрутом решил,
решил вопрос с маршрутом:
есть работающий маршрут в локации №2:
на 192.168.20.0 через 176.16.1.2 для PPTP
но пинга не появилось
трассировка заканчивается на 10.1.0.1

[BERLINN1976]

в конфигурации опен впн на сервере никакхи маршрутов не надо?

[ValdikSS]

BERLINN1976, А, у вас еще отдельный диапазон для клиентов OpenVPN? Маршрут до него также необходимо добавить на всех роутерах.

[BERLINN1976]

ValdikSS,
Для OpenVPN отдельная подсеть 10.1.0.1 - сервер, 10.1.0.2 - клиент
При включении OpenVPN на сервере подымается маршрут на 10.1.0.2 через 10.1.0.1 для интерфейса OpenVPN.
Мне нужен пинг до подсети 192.168.20.0 (локация№2) с 10.1.0.2 через 192.168.30.1.
От 10.1.0.2 до 192.168.30.1 пинг есть (на OpenVPN клиенте настроен маршрут до 192.168.30.0 через 10.0.1.1)
От 192.168.30.1 до 192.168.20.1 пинг есть (VPN PPTP (с подсетью 172.16.1.0, при этом: локация№1 - сервер локация№2 - клиент, необходимые маршруты настроены)
От 10.1.0.2 до 192.168.20.1 пинга нет (на OpenVPN клиенте настроен маршрут до 192.168.20.0 через 10.0.1.1)
Какой маршрут мне нужно добавить?

[ValdikSS]

BERLINN1976, предположительно, маршруты у вас настроены правильно. Проверяйте настройки файрволла/зон, keenetic-специфичные. См. документацию и отлаживайте прохождение пакетов с помощью tcpdump на самих роутерах.

[BERLINN1976]

ок, спасибо

[BERLINN1976]

ValdikSS,
захватил пакеты для интерфейса OpenVPN
с 10.1.0.2 до 192.168.20.1 приходит пакет, но по нему нету ответа
пакеты какого интерфейса захватывать дальше?

[ValdikSS]

BERLINN1976, Захватывайте пакеты между PPP-интерфейсами. Если пакет уходит на другой роутер, но ответа нет, производите захват и проверьте правила межсетевого экрана и на другом роутере.

[BERLINN1976]

я это понимаю, но на 192.168.30.1 в настройках захвата нету интерфейса pptp, по которому он связан с 192.168.20.1.