Как настроить маршруты на сервере openvpn для доступа в локальную сеть?

Question

[Shazo]

Добрый день.

Нужна помощь в настройке сервера openvpn.
Задача: подключиться к vpn, получить ip из подсети 172.16.32.0/24 и получить доступ к локальной сети 192.168.230.0/24.

Есть машина - сервер openvpn centos 6.5.
eth0 - ip 192.168.230.176 ip локальной сети
eth1 - ip111.111.111.111 внешний статичный ip на сервере
tun0 - 172.16.32.1 интерфейс для openvpn.

На данный момент клиент vpn подключается, получает ip172.16.32.6.
Пингуется 172.16.32.1 и 192.168.230.176, но ip192.168.230.174 уже нет.
С сервера vpn доступ к 192.168.230.174 есть.
С сервера же ip192.168.230.174 дописан маршрут и ip172.16.132.1 пингуется, а к клиентам подключаемым через vpn доступа нет.

Трасировка с клиента до 192.168.230.14:

1 48 ms 48 ms 51 ms 172.16.32.1
2 172.16.32.1 сообщает: Заданный узел недоступен.

Маршруты на клиенте, получаемые при подключении vpn:

172.16.32.1 255.255.255.255 172.16.32.5 172.16.32.6 4256
172.16.32.4 255.255.255.252 On-link 172.16.32.6 4511
172.16.32.6 255.255.255.255 On-link 172.16.32.6 4511
172.16.32.7 255.255.255.255 On-link 172.16.32.6 4511
192.168.230.0 255.255.255.0 172.16.32.5 172.16.32.6 4256

Конфиг сервера openvpn:

proto tcp
dev tun
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/server.crt
key /etc/openvpn/server/server.key
dh /etc/openvpn/server/dh2048.pem
server 172.16.32.0 255.255.255.0 # Сеть для клиентов
#ifconfig 172.16.32.1 255.255.255.0
push "route 192.168.230.0 255.255.255.0" # Локальная сеть куда надо пустить клиентов
route 192.168.230.0 255.255.255.0
client-cert-not-required
username-as-common-name
plugin /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so "/etc/openvpn/auth/ldap.conf"
script-security 3
#client-to-client
verb 3

iptables --list

Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:o penvpn
ACCEPT all -- anywhere anywhere state RELATED,ESTAB LISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:s sh
REJECT all -- anywhere anywhere reject-with icmp-ho st-prohibited
ACCEPT tcp -- anywhere anywhere tcp dpt:openvpn

Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-ho st-prohibited
ACCEPT all -- 172.16.32.0/24 192.168.230.0/24

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Прописывал правила:
iptables -t nat -A POSTROUTING -s 172.16.32.0/24 -j MASQUERADE
iptables -A FORWARD -i tun0 -s 172.16.32.0/24 -d 192.168.230.0/24 -j ACCEPT

ip_forward включил

Подскажите, что я упускаю или делаю не так?

Comments

[Shazo]

Плохо разбираюсь в сетях, но разве судя по трассировке, он не пытается пойти через 172.16.32.1?

Трасировка с клиента до 192.168.230.14:
1 48 ms 48 ms 51 ms 172.16.32.1
2 172.16.32.1 сообщает: Заданный узел недоступен

[Модератор]

Фрагменты кода надо размещать в виде текста и оборачивать тэгом code для корректного отображения. Удобно делать кнопкой </>
Это обязательно, см.п.3.8 Регламента.
Сюда же относится traceback, ввод и вывод в консоли и другая структурированная текстовая инфа.

Answer 1

[Евгений Елизаров]

Маршруты вы указали, а через что он туда ходить то должен?
push "route-gateway 172.16.32.1"