Как реализовать доступ извне к сети openvpn?

Question

[projectOo]

Всем дорброго времени суток.
Ув. знатоки прошу помощи.
Есть сеть OpenVPN.
- впс1 с белым айпи выступает в роли ов сервера.
- клиент1 с серым айпи - веб-сервер.
- впс2 с белым айпи - выступает как клиент,
- клиент2 для теста сети.
В этой сети впс2 подключается и сохраняет свой белый айпи и перенаправляет трафик на клиента1.
То есть по логике у клиента1 должно быть 2 белых айпи.
Но суть проблемы в том что трафик по айпи впс2 проходит только внутри сети, доступ к сайту у клиента2 есть только тогда когда он подключен к впн-серверу впс1.
Как правильно сделать маршрутизацию, чтоб айпи адрес впс2 давал доступ извне к клиенту1 (веб-серверу)?

Comments

[Алексей Черемисин]

Картинку бы, а то по описанию мало понятно...
Можно и от руки, на бумпжке и сфоткать на телефон...

[projectOo]

Алексей Черемисин,
Нужно реализовать подлкючение с 2 и 3 полосами. То есть впс2 должен получить внутренний адрес впн сети (уже сделано) и дать доступ извне по своему внешнему айпи.
На данный момент доступ по внешнему айпи доступен только есть клиенты подключены к сети впс.
Схема скорее всего не до конца правильная и понятна но думаю если приложить описание вопроса то додумать можно. Сорри

[Алексей Черемисин]

projectOo, флажок clienr-to-client на сервере openvpn установлек?
И форвардинг пакетов в ядре включен?

[projectOo]

попытаюсь обьяснить описание.
есть веб-сервер с серым айпи (клиент1). для доступа извне подключен через опенвпн к серверу с белым айпи(впс1).
дополнительно есть впс2 так же с белым айпи. который подключен как клиент2 к впн серверу впс1. defualt gateway на впс2 настроен так что впс2 не получает айпи впс1 ( впн сервера).
внутри сети впн все клиенты пингуются, порты проброшены.
вопрос: как сделать так, чтоб извне трафик который идет на белый айпи впс2 попадал конкретно на клиент1 уже внутри впн сети? а не проходил сначала через сервер впс1 (впн сервер) а потом только попадал на клиент1.

Answer 1

[Drno]

Проброс порта.
Вначале впс2 >> впс1
Далее впс1 >> клиент1 (уже внутри впн сет)

Ну и NAT включить на обоих

Если проброс с впс2 надо делать сразу на клиент1 - тогдм делаеть его сразу внутри впн сети

Comments

[projectOo]

Не подходит, схема впс2>впс1>клиент не подходит.
Нужно именно так:
впс1 (опенвпн сервер) > клиент1 ( опенвпн клиент)
Впс2 ( опенвпн клиент) > клиент1 (опенвпн клиент)

[Drno]

projectOo, тогда подключаемся к впн серверу с впс2, и так же прокидываем порт на клиент1. Внутри соединения ВПНа

[projectOo]

Drno, прокинут порт, все сделано, проблема в том, что доступ по внешнему белому айпи впс2 доступен только внутри сети впн, то есть, имеется клиент2, который просто подключён к сети впн, клиент2, если в браузере убить внешний айпи впс2 заходит на сайт, и все кто не подключён к впн, зайти не могут

[projectOo]

Фаерволы все проверял, на впс2 установил апач для теста, если впс2 не подключён к впн, то в браузере отображается его страница, если подключён то нет доступа к клиенту1

[Drno]

projectOo, ты NAT включил же на впс2 ?
и в конфиге ВПНа указал что ненадо переадресовывать ВСЁ внутрь впна ?

[projectOo]

Drno, да, все включил

[Drno]

projectOo, если у тебя сервер2 становится недоступен по внешке после включения VPN, отключи в его конфиге клиента переадресацию всего трафика внутрь ВПНа

[projectOo]

Drno, если можешь подскажи пожалуйста какой примерно хотябы параметр за это может отвечать, буду за пк минут через 40 чтоб скинуть конфиг

[Drno]

projectOo, ок гугл... ра ля ля...

#Redirect ALL TO VPN
redirect-gateway def1 bypass-dhcp