Как попасть в сеть за сервером openvpn ?

Question

[wwwatson]

Задача. Попасть во внутреннюю сеть организации извне.
VPN сервер находится за роутером (проброс сделан и работает).
К нему подключаюсь удаленно (допустим через Usb модем).
Сама сеть организации это 192.168.2.х. IP адрес сервера на котором стоит сервер openvpn 192.168.2.20. IP адрес впн сервера при запуске 192.168.10.1
При подключении vpn клиент получает IP адрес 192.168.10.6 (Сам IP клиента 192.168.42.188)

Взаимный пинг между 192.168.10.1 и 192.168.10.6 есть. Но пинга до 192.168.2.20 и до 192.168.43.188 никакого нет.
Маршруты прописываются. Через rout print вижу
Следовательно до компьютеров сети организации 192.168.2.х (или до роутера 192.168.2.1) нет.
Как понимаю в конфиге еще что нужно прописывать ?
Конф сервера

dev tun
proto tcp-server
port 5190
tls-server
server 192.168.10.0 255.255.255.0
client-to-client
comp-lzo
route 192.168.42.0 255.255.255.0 192.168.10.6
push "route 192.168.1.0 255.255.255.0 192.168.10.1"
dh C:\\OpenVPN\\ssl\\dh1024.pem
ca C:\\OpenVPN\\ssl\\ca.crt
cert C:\\OpenVPN\\ssl\\Server.crt
key C:\\OpenVPN\\ssl\\Server.key
tls-auth C:\\OpenVPN\\ssl\\ta.key 0
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
keepalive 10 120
status C:\\OpenVPN\\log\\openvupn-status.log
log C:\\OpenVPN\\log\\openvpn.log
verb 3

Конф клиента

client
dev tun
proto tcp
remote х.х.х.х
port 5190
tls-client

persist-key
persist-tun
ns-cert-type server
ca C:\\OpenVPN\\ssl\\ca.crt
cert C:\\OpenVPN\\ssl\\client.crt
key C:\\OpenVPN\\ssl\\client.key
tls-auth C:\\OpenVPN\\ssl\\ta.key 1
ns-cert-type server
comp-lzo
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
verb 3
ping-restart 60
ping 10
log-append "C:\\OpenVPN\\log\\openvpn.log"
status "C:\\OpenVPN\\log\\status.log"

принт сервера

0.0.0.0 0.0.0.0 192.168.42.129 192.168.42.188
127.0.0.0 255.0.0.0 On-link 127.0.0.1
127.0.0.1 255.255.255.255 On-link 127.0.0.1
127.255.255.255 255.255.255.255 On-link 127.0.0.1
192.168.1.0 255.255.255.0 192.168.10.1 192.168.42.188
192.168.10.0 255.255.255.0 192.168.10.5 192.168.10.6
192.168.10.4 255.255.255.252 On-link 192.168.10.6
192.168.10.6 255.255.255.255 On-link 192.168.10.6
192.168.10.7 255.255.255.255 On-link 192.168.10.6
192.168.42.0 255.255.255.0 On-link 192.168.42.188
192.168.42.188 255.255.255.255 On-link 192.168.42.188
192.168.42.255 255.255.255.255 On-link 192.168.42.188

Принт клиента

0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.47 25
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.1.0 255.255.255.0 On-link 192.168.1.47 281
192.168.1.47 255.255.255.255 On-link 192.168.1.47 281
192.168.1.255 255.255.255.255 On-link 192.168.1.47 281
192.168.10.0 255.255.255.0 192.168.10.2 192.168.10.1 20
192.168.10.0 255.255.255.252 On-link 192.168.10.1 276
192.168.10.1 255.255.255.255 On-link 192.168.10.1 276
192.168.10.3 255.255.255.255 On-link 192.168.10.1 276
192.168.42.0 255.255.255.0 192.168.10.6 192.168.1.47 26

Answer 1

[sHaggY_caT]

Нужно NAT настроить на сервере OpenVPN, то есть трансляцию адресов из сети VPN-клиентов в локалку.
Так же можно поднять tap OpenVPN, что бы была одна сеть на уровне L2

Comments

[Сергей]

Любопытно, и как же этот NAT настроить?
Вы сами, хотя бы раз такое делали?

[sHaggY_caT]

да, под сотню раз. Только не сама конечно, за меня настраивал Puppet (я один раз для него написала инструкции, и далее он делал однотипные действия, а я его только запускала. Кстати, под Windows тоже есть агент, только серверной части нет), правда, увы, настраивала только под Linux и FreeBSD.

Однако в Windows тоже есть NAT, погуглите в эту сторону: goo.gl/GfpZGs

[sHaggY_caT]

Можете попробовать tap конфигурацию, тогда у Вас будет одна сеть на уровне L2. Вы знаете же модель OSI?

[Сергей]

sHaggY_caT: Коллега, не нужно грузить терминами. Вопрос был про OpenVPN.. Не понимаю, о каком NAT вы говорите?? Сам сервер OpenVPN занимается NAT-ом и маршрутизацией. Никаких дополнительных служб поднимать ненужно. Вы еще посоветуйте человеку DHCP поднять... вдруг поможет ))

[sHaggY_caT]

Я ничем не гружу. Просто сама сталкивалась с такой проблемой, но не на Windows сервере OpenVPN, а на Linux и FreeBSD. Проблема во всех шести случаях(эти серверы настраивала не я puppet-ом, просили помочь) заключалась в том, что или

а) не был настроен NAT'инг, или
б) не был настроен форвадинг между интерфейсами

Поэтому и рекомендую Вам

1) Посмотреть NAT на своем Windows сервере
2) посмотреть настройки Forwading между интерфейсами

[sHaggY_caT]

Воспринимайте сеть OpenVPN как еще одну сеть (вроде локалки, или напротив инета), доступ к которой должен разрулить Ваш сервер.

[sHaggY_caT]

Ну и посмотрите tap конфигурации OpenVPN. В этом случае OpenVPN сервер будет выступать в роли L2 моста

[Сергей]

sHaggY_caT: Коллега, вижу вы не поняли. Объясню по русски. Я знаю что такое OpenVPN. И да, у меня он тоже на FreeBSD. И нет я не пользую Puppet. И да - я настраивал его руками. И нет - я не поднимал NAT, DHCP и другие службы. Для OpenVPN это ненужно!!!!

[sHaggY_caT]

Мой паппет прописывает для OpenVPN _сервера_ форвадинг(так как по умолчанию я запрещаю) и маршруты. По сути получается, что маршруты на сервере нужны.
Ну и убедитесь, что push на клиент проходит успешно, посмотрите таблицу маршрутизации клиента

[Сергей]

sHaggY_caT: Маршруты обязательно нужны. Только их надо в конфиг сервера писать и(или) в конфиг клиента. Но ни в коем случае не вручную в командной строке - работать не будет!
Сервер OpenVPN - сам по себе маршрутизатор, DHCP, NAT - в одном флаконе. И все настройки берет из конфигов, остальные настройки ему по барабану

[sHaggY_caT]

Настройте NAT из локалки в сеть OpenVPN, что бы это было для хостов офисной сети как "второй инет", ну не дефаулт роутом, конечно, а роутом на эту сеть(openvpn клиентов).

[sHaggY_caT]

у меня работает именно так, и на нескольких десятках серверов (я фрилансила немного, и настраивала автоматом OpenVPN серверы в том числе)

Я прописываю NAT на OpenVPN сервере во все локалки, куда должен иметь доступ клиент

[Сергей]

sHaggY_caT: Вы ерундой занимаетесь. Причем тут второй интернет?
Интернет будет работать как и раньше, по основному маршруту. На сеть за VPN обычно рисуется дополнительный маршрут. Правильно - это рисовать его на шлюзе. Но можно и рисовать на хостах клиента.

[Сергей]

sHaggY_caT: "Я прописываю NAT на OpenVPN сервере во все локалки, куда должен иметь доступ клиент" - Бессмысленная трата ресурсов. В дополнительном NAT есть смысл только когда адресация в сетях одинаковая. В большинстве случаев никакой NAT не нужен. Например в этом топике. Сети везде разные. Зачем NAT???

[sHaggY_caT]

Сергей: я подумала, что Вы топикстартер, сейчас убедилась, что нет, Вы не он :)
У меня всё работает, вот и взялась помогать, если у Вас тоже все работает, о чем мы говорим с Вами? Давайте дождемся ответа топикстартера.
"Второй инет" словосочетание я использовала, так как была жалоба на "закидывание терминами", разумеется, это не "второй инет", а статический роут и NAT на него, хотела объяснить проще, думая, что Вы не очень квалифицированный ТС.

Answer 2

[Сергей]

ИСПРАВЛЕНО

В конфиге сервера

Удалите строки:
route 192.168.42.0 255.255.255.0 192.168.10.6
push "route 192.168.1.0 255.255.255.0 192.168.10.1"

Добавьте строки:
push "route 192.168.10.0 255.255.255.0"
push "route 192.168.2.0 255.255.255.0"
route 192.168.42.0 255.255.255.0

В настройки клиента (обычно это файл с именем клиента в каталоге ccd, на сервере) добавьте:
iroute 192.168.42.0 255.255.255.0

И да, вижу у вас Windows. На момент проверки тормозните файрвол.

Comments

[Сергей]

wwwatson: обратите внимание на мои исправления. У вас был статический маршрут и указан destination - это неверно! OpenVPN сам строит маршруты после установки соединения!!!!!

[wwwatson]

Вчера пытался. Так вообще пинг пропал между сервером и клиентом. Все равно спасибо. Проблему решили покупкой роутера с поддержкой сервера vpn и openvpn . Тут то все работает)

Answer 3

[wwwatson]

Написал. роуты как просили
в папке C:\\OpenVPN\\config\\ccd создал файл Client.txt
прописал там iroute 192.168.43.0 255.255.255.0

Фаерволы на обоих машинах отключены.

Но результат такой же
Табл. мар сервера

192.168.2.0 255.255.255.0 On-link 192.168.2.20 276
192.168.2.20 255.255.255.255 On-link 192.168.2.20 276
192.168.2.255 255.255.255.255 On-link 192.168.2.20 276
192.168.10.0 255.255.255.0 192.168.10.2 192.168.10.1 30
192.168.10.0 255.255.255.252 On-link 192.168.10.1 286
192.168.10.1 255.255.255.255 On-link 192.168.10.1 286
192.168.10.3 255.255.255.255 On-link 192.168.10.1 286
192.168.43.0 255.255.255.0 192.168.10.2 192.168.10.1 30

клиента

127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.2.0 255.255.255.0 192.168.10.5 192.168.10.6 20
192.168.10.0 255.255.255.0 192.168.10.5 192.168.10.6 20
192.168.10.4 255.255.255.252 On-link 192.168.10.6 276
192.168.10.6 255.255.255.255 On-link 192.168.10.6 276
192.168.10.7 255.255.255.255 On-link 192.168.10.6 276
192.168.43.0 255.255.255.0 On-link 192.168.43.138 281
192.168.43.138 255.255.255.255 On-link 192.168.43.138 281
192.168.43.255 255.255.255.255 On-link 192.168.43.138 281

Еще вопрос. С роутера я же должен пинговать сеть openvpn. Маршрут вроде нормальный.
Но ни сервер впн ни клиент не пингуются.

Comments

[Сергей]

route 192.168.42.0 255.255.255.0 192.168.10.6 - это что?
push "route 192.168.1.0 255.255.255.0 192.168.10.1" - а это?
У вас сколько сетей вообще? Вам бы картинку нарисовать для понимания

[wwwatson]

route 192.168.42.0 255.255.255.0 192.168.10.6 это сеть клиента. Но она особо не нужна. Нужен доступ к сети за сервером
С 192.168.1.0. очепятался. Есть только 192.168.2.0.

[Сергей]

wwwatson: Вы пробовали вариант в моем ответе?