Как настроить роутинг OPENVPN?

Question

[Павел Самохвалов]

Есть офис, в котором в качестве шлюза стоит роутер Asus прошитый ddwrt openvpn. Поднят сервер Openvpn.
К роутеру конектятся клиенты извне через виндовый клиент Openvpn. Клиенты сеть офиса видят. Но требуется так же, чтобы офис видел клиентские машинки.

Клиентский конфиг:
client
dev tun
proto tcp
remote %Office-WAN-IP% 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client3.crt
key client3.key
cipher "BF-CBC"
comp-lzo
verb 3
link-mtu 1543

Серверный:
push "route 192.168.1.0 255.255.255.0"
server 10.0.0.0 255.255.255.0
comp-lzo
dev tun0
proto tcp-server
duplicate-cn
keepalive 10 120
dh /tmp/openvpn/dh.pem
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
management localhost 5001

Офисная сеть: 192.168.1.0/24
Клиентские: 192.168.2.0/24, 192.168.3.0/24.

IPTABLES на роутере:
iptables -I INPUT 1 -p tcp –dport 1194 -j ACCEPT
iptables -I FORWARD 1 –source 192.168.1.0/24 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT

Все осложняется тем, что через ssh на роутер зайти нельзя, т.к. он почему-то виснет.
Поэтому только веб консоль и правила iptables.

Comments

[Александр Карабанов]

Клиенты сеть офиса видят.

Если клиенты сеть офиса видят, значит с маршрутизацией всё в порядке и трафик ходит в обе стороны.
Не понятно что вы имеете ввиду, когда говорите, что:

Но требуется так же, чтобы офис видел клиентские машинки.

[Павел Самохвалов]

Чтобы из 192.1681.0/24 был виден IP клиента например интерфейса OpenVPN. 10.0.0.6

Answer 1

[Disen]

Уточняющий вопрос, а офис знает, за каким интерфейсом находятся клиенты? Роутинг на 10.0.0.0/24 прописан?

Comments

[Павел Самохвалов]

В том-то и дело, что не знает.
Все пакеты на 10.0.0.х/32 уходят в сеть провайдера, вместо туннеля.

[Disen]

Пропишите маршрут, что 10.0.0.х/32 находится за интерфейсом ovpn, в Вашем случае это интерфейс tun0.
Если мне не изменяет память, ddwrt позволяет настраивать маршруты и через web-интерфейс.

[Павел Самохвалов]

Вопрос как это сделать ))
Через команды? Или в конфиге?
Может даже ткнете носом в пример? Буду благодарен.

[Disen]

www.dd-wrt.com/wiki/index.php/Linking_Subnets_with...

Setup ==> Advanced Routing:

Destination LAN NET - 10.0.0.0
Subnet Mask - 255.255.255.0
Gateway - 10.0.0.1
Interface - tun0

Попробуйте, на Asus RT-n10 эти настройки есть. Единственное, попробовать нет возможности, а других железок под рукой нет.

[Павел Самохвалов]

Денис, спасибо за заботу. Роутинг есть, как оказалось. Просто файрвол блочил все пакеты.

Answer 2

[Владимир]

при старте сервера с таким конфигом должны добавится два роута

10.0.0.0/24 via 10.0.0.2 dev tun0 
10.0.0.2 dev tun0  proto kernel  scope link  src 10.0.0.1

возможно они перетираются
посмотрите таблицу маршрутизации
перезапустите сервер и посмотрите снова
если есть разница, попробуйте вбить вручную в консоли после перегрузки маршрутизатора
если помогает, ищите кто их перетирает

Answer 3

[Павел Самохвалов]

Консолька недоступна, увы. Иначе я бы через ccd настроил, думаю.

Comments

[Александр Карабанов]

А телнет? Выкоючите SSH включите телнет. Выключите неиспользуемые службы вроде SAMBA.