Каким образом настроить роутинг подсети OpenVPN во внутреннюю сеть?

Question

[somebsomew]

Всем привет!

Поднял OpenVPN сервер. Подсеть OpenVPN 172.30.0.0/20. Интерфейс tun0

root@openvpn-01:/home/ubuntu# ip a
1: lo: mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens3: mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether fa:16:3e:c1:60:08 brd ff:ff:ff:ff:ff:ff
inet 10.0.0.14/24 brd 10.0.0.255 scope global dynamic ens3
valid_lft 518864sec preferred_lft 518864sec
inet6 fe80::f816:3eff:fec1:6008/64 scope link
valid_lft forever preferred_lft forever
6: tun0: mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 100
link/none
inet 172.30.0.1 peer 172.30.0.2/32 scope global tun0
valid_lft forever preferred_lft forever
inet6 fe80::3758:24ee:aa1a:9ad7/64 scope link stable-privacy
valid_lft forever preferred_lft forever

root@openvpn-01:/home/ubuntu# ip route
default via 10.0.0.1 dev ens3 proto dhcp src 10.0.0.14 metric 100
10.0.0.0/24 dev ens3 proto kernel scope link src 10.0.0.14
169.254.169.254 via 10.0.0.1 dev ens3 proto dhcp src 10.0.0.14 metric 100
172.30.0.0/20 via 172.30.0.2 dev tun0
172.30.0.2 dev tun0 proto kernel scope link src 172.30.0.1

Не могу "достучаться" до внутренней подсети 10.0.0.0/24 через интерфейс tun0 (например, не проходит ping ) - отсутствует сетевая связанность.

Подскажите, каким образом ее можно организовать без NAT?

P.S iptables в целях тестирования отключил

Answer 1

[Дмитрий]

а клиенты в сети 10.0.0.0/24 знают про маршрут к 172.30.0.0/20 ?

Comments

[somebsomew]

На данный момент нет. Прописывал следующий маршрут: ip addr add 172.30.0.0/20 via 10.0.0.14, но не помогло, удалил.

[somebsomew]

traceroute с OpenVPN сервера до машинки в подсети 10.0.0.0/24

[Дмитрий]

куда он без маршрута будет трафик возвращать? на деревню деду? пиши маршрут клиенту, и покажи
что показывает команда на openvpn сервере
sysctl net.ipv4.ip_forward

[somebsomew]

Дмитрий,
ip addr add 172.30.0.0/20 via 10.0.0.14? если да, то не помогает

[Дмитрий]

бери tcpdump и начинай рассматривать трафик на openvpn сервере. (и это мы еще конфиги openvpn сервера и клиентов не смотрели, а то может дело в них,а?)

[somebsomew]

Дмитрий,

;local a.b.c.d

;proto tcp
proto udp

;dev tap
dev tun

;dev-node MyTap

ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key  # This file should be kept secret

dh /etc/openvpn/easy-rsa/pki/dh.pem

;topology subnet

server 172.30.0.0 255.255.240.0

ifconfig-pool-persist /var/log/openvpn/ipp.txt

;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100

;server-bridge

push "route 10.0.0.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"


;client-config-dir ccd
;route 192.168.40.128 255.255.255.248

;client-config-dir ccd
;route 10.9.0.0 255.255.255.252

;learn-address ./script

;push "redirect-gateway def1 bypass-dhcp"

;push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"

;client-to-client

;duplicate-cn

keepalive 10 120

;tls-auth ta.key 0 # This file is secret

cipher AES-256-CBC

;compress lz4-v2
;push "compress lz4-v2"

;comp-lzo

;max-clients 100

;user nobody
;group nogroup

persist-key
persist-tun

status /var/log/openvpn/openvpn-status.log

;log         /var/log/openvpn/openvpn.log
;log-append  /var/log/openvpn/openvpn.log

verb 3

;mute 20

explicit-exit-notify 1

askpass /etc/openvpn/server/cert_pass

[Roon1988]

somebsomew, здравствуйте я просто тоже бьюсь с некоторыми вопросами.
Я правильно понял что вы хотите между клиентами видеть друг друга?

Или вы хотите из под сети ВПН видеть подсеть маршрутизатора?

[Roon1988]

somebsomew, у меня проблема что клиенты видят сервер, трафик весь через него льют, выход в интернет есть, но клиенты друг друга не видят. Даже прописать в ручную маршрут на стороне клиента на каком шлюзе находиться клиент и у клиента то же для ответа не даёт результата.

Я грешу на фаервол, но в вашем случае он вообще отключен.

Значит дело не только в нем, но у меня на стороне сервера прописана деректива с шлюзом и деректива клиент ту клиент, и субнет тоже, и ничего не помогло.

Answer 2

[Alexey Dmitriev]

Маршрутизация предполагает, что ВСЕ хосты по пути следования маршрута знают маршруты ко всем хостам на пути маршрута как в одну, так и в обратную сторону. Или через записи в таблице маршрутизации, или через шлюз по умолчанию.

Comments

[somebsomew]

Вывод команды traceroute в комментарии выше. Там же есть роуты на сервере и на клиенте. Подскажите, чего не хватает?

[Alexey Dmitriev]

somebsomew, вывод traceroute не вижу. На сервере OpenVPN ipv4 forward в sysctl включен?

[somebsomew]

Alexey Dmitriev, Включен. Вывод traceroute на скрине в комментариях выше

Answer 3

[ValdikSS]

Необходимо настроить маршрутизацию требуемых диапазонов адресов через VPN-сервер на всех устройствах локальной сети, иначе вы получите асимметричную маршрутизацию, когда пакет с одной из сторон сети доходит до устройства, а устройство не знает правильный маршрут для отправки ответа, и отправляет его через шлюз по умолчанию (в интернет).
Если ваш VPN-сервер расположен не на самом шлюзе (маршруте по умолчанию), а на другом адресе, необходимо добавить маршруты до сетей через адрес VPN-сервера на всех устройствах локальной сети, и также убедиться в правильности настройки маршрутов у VPN-клиентов.

Варианты решения проблемы:

1. Добавить маршрут на роутер в локальной сети до диапазона VPN-сети через IP-адрес VPN-сервера
   
2. Добавить маршрут до диапазона VPN-сети всем устройствам локальной сети через IP-адрес VPN-сервера (не обязательно вручную, можно средствами DHCP option 121/249 роутера).
   

См. мои комментарии к вопросу Как правильно настроить роутинг openvpn?

Comments

[somebsomew]

У VPN сервера есть адрес в локальной сети - 10.0.0.14 на интерфейсе ens3. Если на устройствах локальной сети прописать маршрут до VPN-сети 172.30.0.0/20 через адрес 10.0.0.14, то ничего не работает - условный ping доходит до адреса 10.0.0.14 и все.

[somebsomew]

UPDATE.
Когда с хоста в локальной сети пингую 172.30.0.2 и любой другой IP из диапазона, то с помощью tcpdump на VPN сервере вижу icmp реквесты на tun0
На самом клиенте нечно, как на скрине:

[ValdikSS]

somebsomew, убедитесь, что:
1. VPN-сервер настроен на маршрутизацию трафика
2. У VPN-клиентов также есть маршрут до диапазона локальной сети

[somebsomew]

сервер в локальной сети:


VPN-сервер:


пинг сервера в локальной сети с VPN-сервера:

[ValdikSS]

somebsomew, ничего не понятно. Зачем вы пытаетесь пинговать сервер в локальной сети через tun-интерфейс, когда этот сервер напрямую подключён через другой, физический интерфейс? Так, разумеется, работать не будет.

[somebsomew]

ValdikSS, с клиента тоже пинг не проходит к целевому серверу в локальной сети. tcpdump'ом на VPN-сервере вижу icmp реквесты на tun0 и все. на целевом сервере тишина

p.s. на OpenVPN сервере net.ipv4.ip_forward=1