Правильно ли я настроил свой OpenVPN шлюз?

Question

[SachaDerr]

Моя конфигурация:

Задача подключить через OpenVPN подсеть, мой компьютер 192.168.0.x к OpenVPN серверу 10.8.0.1 / 87.***.***.99:1194, и далее с сервера с помощью клиента через другую OpenVPN к следующему OpenVPN серверу 82.***.***.44:443

Мой конфиг сервера - MyVirtServer:

mode server
server 10.8.0.0 255.255.255.0 #vpn subnet
local  87.***.***.99
port 1194
proto tcp
;proto udp
dev tun1 #dev-name
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key  # This file should be kept secret
dh /etc/openvpn/dh1024.pem
ifconfig-pool-persist ipp.all
keepalive 10 120
cipher DES-EDE3-CBC  # Triple-DES
comp-lzo
max-clients 5
user nobody
group nogroup
persist-key
persist-tun
verb 0
mute 20

Мой конфиг домашнего клиента - MyPC:

client
dev tun
proto udp
remote 87.***.***.99
port 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
ns-cert-type server
cipher DES-EDE3-CBC  # Triple-DES
comp-lzo
# Set log file verbosity.
verb 0
# Silence repeating messages
;mute 20

Мой конфиг клиента на MyVirtServer :

client
dev tun0
proto tcp
remote 82.***.***.44
port 443
resolv-retry infinite
nobind
persist-key
persist-tun
persist-remote-ip
ca vpsserver.crt
tls-remote 82.***.***.44
auth-user-pass vpsserverpass.auth
auth-nocache
comp-lzo
verb 3
auth SHA256
cipher AES-256-CBC
keysize 256
tls-cipher DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:AES256-SHA

Ошибок в openvpn логах не наблюдаю...
Помогите пожалуйста разобраться?

Answer 1

[Glueon]

Нарисуйте схематично схему, которую вы хотите получить.
Если я правильно понял хочется иметь что-то типа "дабла":

Домашний ПК -> Ваш VPN сервер -> Какой-то другой публичный VPN

После включения VPN-а на домашнем ПК весь трафик должен уходить в конечном счете в публичный VPN и маскироваться?
Пока не совсем понятно зачем нужна строка:
push "route 192.168.0.0 255.255.255.0" #home net

Comments

[SachaDerr]

Да вы правы , строка push "route ..." эта совсем без толку здесь:
я думал что если я создам локальную сеть 192.168.0.0, то я буду виден с моим домашним внутренним IP, а без push "route ..." с моим внутренним серверным IP. Но это не так... ((

Answer 2

[SachaDerr]

Я думал так разделить OpenVPN подсеть 10.8.0.0 и внутреннию сеть 192.168.0.0?
Или я вообще не в теме?

Схема такая:

Мой ПК (192.168.0.85) <-----OpenVPN туннель на внешний IP моего сервера :1194-----> Мой вирт. Сервер  ->(10.8.0.0)  <----OpenVPN туннель на vpsserver.com:443-----> OpenVPN vpsserver.com Сервер

Comments

[Glueon]

push директива на вашем ПК добавит маршрут на подсеть 192.168.0.0/24 в туннель. Это явно не то, что вам нужно.
Насчет трафика вы не ответили, должен ли весь трафик с домашнего ПК маскироваться под VPN с vpnserver.com или нет?
Здесь помимо прочего не хватает policy routing правил.

[SachaDerr]

Думаю трафик не должен маскироваться под VPN , что бы второй сервер принимал мои пакеты... Вроде если бы я напрямую соединился с vpnserver.com :443, а не через мой сервер.

Не обессудьте если я что то не так объясняю, я в линуксе dummy...

[SachaDerr]

Мне тоже так думается что не хватает policy routing, только как мне tun1 перенаправить на tun0?

[Glueon]

Учитывая, что вы положили конфиг vpsserver.com на сервер видимо вы все-таки хотите, чтобы трафик маскировался.
Вам надо на вашем виртуальном сервере сделать SNAT всей подсети 10.8.0.0/24 либо конкретного IP сервера 192.168.0.85 в подсети 10.8.0.0/24, далее в /etc/iproute2/rt_tables добавить таблицу - строку "300 vpn" например.
Затем добавить policy routing: ip route add default via шлюз_vpnserver.com table vpn; ip rule add from 10.8.0.0/24 table vpn
Можете стукнуть в джабер, чтобы я объяснил подбробнее.