Почему не работает PUSH_ROUTE?

Question

[MaxxDamage]

Доброго времени суток.
На сервере OpenVPN в конфиге указан параметры

push "route 192.168.0.0 255.255.255.0"
push "route 192.168.1.0 255.255.255.0"

Соответственно, чтобы клиент знал что подсеть, к которой организован доступ, находится за туннелем.
На виндовых клиентах всё работает нормально, маршрут пушится. Но на MacOS, с приложением OpenVPN Connect судя по всему не работает, или работает криво.
Для примера - на виндовом клиенте в браузере пытаюсь открыть 192.168.0.1 - закономерно не открывается. Если отключить ВПН - открывается веб-морда роутера. Маршрут пушится, всё в порядке.

На маковском - даже при включенном ВПН открывается веб-морда роутера, маршрут не пушится.
Ну и по пингам видно, что сеть 192.168.1.0 он ищет за туннелем, а 192.168.0.1 - в своей локалке.
Вариант увести клиентскую локалку в другую подсеть рассматривается, но как совсем крайний вариант, сопряжено с большими проблемами.

Answer 1

[agpecam]

Одинаковые подсети по разные стороны туннеля - изначально плохой сетап, вы уже имеете с ним эту проблему. Если так уж хочется и по-другому никак, то пушьте отдельные хосты, а не подсеть. Например, push "route 192.168.0.254 255.255.255.255" - большая маска играет роль. Естественно, это костыль и IP пропушенных хостов не должны иметься в сети клиента

Comments

[MaxxDamage]

Вопрос был не "стоит ли пушить", а почему не пушится.

[agpecam]

Предполагаю, что MacOS видит у себя on-link маршрут в 192.168.0.0/24 и игнорирует пуши, ломающие маршрутизацию и отключающие ее от ее собственной локальной сети.

[Valentin Barbolin]

MaxxDamage, Если по простому. У домашних роутеров тоже часто используются подсети 192.168.1.0 и 192.168.0.0 и соответственно этот маршрут имеет приоритет над тем что присылает openVPN.

Ну и по пингам видно, что сеть 192.168.1.0 он ищет за туннелем, а 192.168.0.1 - в своей локалке.

Зачем гадать, можно ж посмотреть

netstat -nr -f inet

[Ziptar]

agpecam, да просто низкий приоритет маршруту ставит, скорее всего.

[MaxxDamage]

Valentin Barbolin, я уже понял. Решил ручным прописыванием маршрута. Просто почему то винде пофиг, она пушит, а макось кобенится

[Valentin Barbolin]

MaxxDamage, Разные ОС, есть небольшие отличия в работе маршрутов.

Вообще правильным решением будет изменить подсеть предприятия, потому как это не первая проблема с которой придется столкнуться.

[MaxxDamage]

Valentin Barbolin, первая за четыре года

[agpecam]

Ziptar, Не работаю с MacOS, но, учитывая ее родную бабушку FreeBSD, могу предположить, что нет, не может быть 2 маршрута в одну сеть с разными приоритетами. Во FreeBSD нет метрик маршрутов, по моей памяти. Там для представления таблицы маршрутизации используется trie, что не предполагает таких выкрутасов. Могло конечно все измениться за годы. Чистое ИМХО

[Ziptar]

agpecam, звучит страшно, а как оно разруливает перекрывающиеся диапазоны тогда?

[MaxxDamage]

Ziptar, возможно никак )
Там вообще с маршрутами всё странно. Например статический прописать - танец с бубном и скриптами, срабатывающими при запуске

[agpecam]

Ziptar, Longest prefix match - универсальное правило, хоть на MacOS, хоть на винде. Работает всегда более специфический маршрут. У вас может быть маршрут on-link в 192.168.0.0/24 и рядом с ним маршрут в 192.168.0.254/32 через VPN. Это разные подсети с точки зрения FreeBSD и большая маска всегда решает. Трафик к 192.168.0.254 пойдет через VPN