Здравствуйте.
Ни как не разберусь в чем недоработка.
Имеется виртуальная машина на базе debian 12. Установил на нее Ocserv и Certbot для получения сертификата Let's Encrypt. На маршрутизаторе (cisco) настроил проброс портов 80 - для получения сертификата и 443 для подключения клиентов.
ocserv.conf:
auth = "plain[passwd=/etc/ocserv/passwd]"
tcp-port = 443
run-as-user = ocserv
run-as-group = ocserv
socket-file = /run/ocserv-socket
chroot-dir = /var/lib/ocserv
server-cert = /etc/letsencrypt/live/xxxxxx/fullchain.pem
server-key = /etc/letsencrypt/live/xxxxxx/privkey.pem
isolate-workers = true
max-clients = 16
max-same-clients = 2
rate-limit-ms = 100
server-stats-reset-time = 604800
keepalive = 30
dpd = 90
mobile-dpd = 1800
switch-to-tcp-timeout = 25
try-mtu-discovery = true
cert-user-oid = 0.9.2342.19200300.100.1.1
no-compress-limit = 256
tls-priorities = "NORMAL:%SERVER_PRECEDENCE:%COMPAT:-RSA:-VERS-ALL:+VERS-TLS1.2:-ARCFOUR-128"
auth-timeout = 240
min-reauth-time = 300
max-ban-score = 80
ban-reset-time = 1200
ban-points-connection = 1
cookie-timeout = 300
deny-roaming = false
rekey-time = 172800
rekey-method = ssl
use-occtl = true
pid-file = /run/ocserv.pid
log-level = 1
device = vpns
predictable-ips = true
default-domain = xxxxxx
ipv4-network = 192.168.10.0
ipv4-netmask = 255.255.255.0
dns = 'IP адрес локального DNS сервера'
split-dns = test.local
ping-leases = false
route = 10.3.0.0/255.255.0.0
cisco-client-compat = true
dtls-legacy = true
client-bypass-protocol = false
в файле /etc/sysctl.conf раскоментировал строчку
net.ipv4.ip_forward = 1
1. Создаю пользователя и подключаюсь. Подключение выполнено и пингуется внутренний адрес Ocserv, но дальше сервера, во внутреннюю сеть пакеты не уходят, хоть и форвардинг портов на сервере включен и разрешена подсеть 10.3.0.0/16.
2. Если устройство уже находится во внутренней сети предприятия, то подключиться к серверу не удается (даже дело до окна авторизации не доходит).