Как связать несколько клиентских подсетей через сервер OpenVPN?

Question

[levap]

Здравствуйте, уважаемые!

Есть VPN сервер, построенный на базе Ubuntu + OpenVPN, авторизация с помощью сертификатов, белый внешний IP.

Также есть три клиента, которые находятся в своих подсетях за NAT-ом:

Клиент 1 : подсеть 192.168.0.0 255.255.255.0
Клиент 2 : подсеть 192.168.1.0 255.255.255.0
Клиент 3 : подсеть 192.168.2.0 255.255.255.0

VPN сеть имеет внутренние адреса 10.8.0.х, для всех клиентов прописаны статические адреса (10.8.0.30, 32, 34 соответственно).

Удалось настроить доступ с сервера к подсетям клиентов.

Фрагмент server.conf

proto tcp
dev tun
server 10.8.0.0 255.255.255.0
client-to-client

client-config-dir ccd
route 192.168.0.0 255.255.255.0
route 192.168.1.0 255.255.255.0
route 192.168.2.0 255.255.255.0

ccd/laptop

ifconfig-push 10.8.0.30 10.8.0.31
iroute 192.168.2.0 255.255.255.0

Но не могу найти, как сделать доступ из всех подсетей между друг другом. Сервер тут будет выступть только в роли посредника.

Comments

[Армянское Радио]

А у вас NAT работает в режиме TUN или TAP? Будем настраивать L2 перенаправление или L3 - маршрутизацию? Какая маска сети внутри VPN?

[levap]

Армянское Радио: отредактировал исходный вопрос, чтобы ответить.

proto tcp
dev tun
server 10.8.0.0 255.255.255.0
client-to-client

Answer 1

[shaazz]

Добавка к вашей кофигурации.
Можно использовать на сервере параметр
topology subnet
# это IP сервера
ifconfig 10.8.0.1 255.255.255.0
route-gateway 10.8.0.1
route 192.168.0.0 255.255.255.0 10.8.0.30 1
route 192.168.1.0 255.255.255.0 10.8.0.32 1
route 192.168.2.0 255.255.255.0 10.8.0.34 1

а в файлах клиентов client1 и далее по аналогии:
ifconfig-push 10.8.0.30 255.255.255.0
iroute 192.168.0.0 255.255.255.0

link
на сервере дожен быть включен роутинг ip_forward=1

Answer 2

[levap]

shaazz попробовал с этими настройками, но пока не получилось.

Полный файл конфигурации сервера:

port 1194

proto tcp
;proto udp

;dev tap
dev tun

topology subnet

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh2048.pem

server 10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

client-config-dir ccd

ifconfig 10.8.0.1 255.255.255.0
route-gateway 10.8.0.1 
route 192.168.0.0 255.255.255.0 10.8.0.32 1
route 192.168.1.0 255.255.255.0 10.8.0.34 1
route 192.168.2.0 255.255.255.0 10.8.0.30 1

client-to-client

keepalive 10 120

tls-auth /etc/openvpn/keys/ta.key 0 # This file is secret

cipher BF-CBC        # Blowfish (default)
;cipher AES-128-CBC   # AES
;cipher DES-EDE3-CBC  # Triple-DES

comp-lzo

max-clients 10

persist-key
persist-tun

status /var/log/openvpn-status.log
log /var/log/openvpn.log
;log-append  openvpn.log

verb 3
mute 20

И файл настройки клиентов:

ifconfig-push 10.8.0.30 255.255.255.0
iroute 192.168.2.0 255.255.255.0

и

ifconfig-push 10.8.0.32 255.255.255.0
iroute 192.168.0.0 255.255.255.0

Клиентов и сервер перезагрузил.

В результатае из подсети 192.168.0.0 пытаюсь достучаться до сети 192.168.2.0 (ping 192.168.2.1) и не получается.

Comments

[shaazz]

я бы использовал udp (proto udp), закомментировал
;ifconfig-pool-persist ipp.txt
;tls-auth /etc/openvpn/keys/ta.key 0 # This file is secret

и надо добавить в файлах клиентов через push маршруты к сетям друг друга.
ifconfig-push 10.8.0.30 255.255.255.0
iroute 192.168.2.0 255.255.255.0
push "route 192.168.0.0 255.255.255.0"

ifconfig-push 10.8.0.32 255.255.255.0
iroute 192.168.0.0 255.255.255.0
push "route 192.168.2.0 255.255.255.0"

[levap]

shaazz: Большое спасибо! Достаточно было добавить строчки "push "route 192.168.х.0 255.255.255.0" в файлы конфигурации. Теперь сеть доступна.

А с чем связана рекомендация отключить TLS и перейти на UDP?

[shaazz]

tls-auth насколько я понимаю нужна при использовании паролей, а у здесь используются ключи. А udp быстрее.