Как настроить маршрутизацию OpenVPN на OpenWRT?

Question

[sogrin]

Приветствую, специалисты!
Суть вопроса такова.
Имеется роутер tp-link 1043 v2 с установленной openWRT и openVPN. 192.168.200.1.
Также имеется сетка 192.168.201.x\24 без DHCP
Сетка подключена к 4 порту роутера 1043.
На роутере поднят и работает openvpn сервер. 10.0.0.0 255.255.255.0
Клиент подключается к серверу и получает адрес из сети выше.
Как связать мне 4 порт и vpn сервер на роутере, чтобы я из любого места имел VPN доступ именно к этой сетке? В сети свободны адреса от 192.168.201.240 и выше.
Создать vlan и интерфейс на 4 порт и прописать маршрутизацию между ним и openvpn сервером?
Не могу понять как и как прописать настройки фаервола.
Настройки server
config openvpn lan
option enable 1
option port 1194
option proto udp
option dev tun
option ca /etc/easy-rsa/keys/ca.crt
option cert /etc/easy-rsa/keys/server.crt
option key /etc/easy-rsa/keys/server.key
option dh /etc/easy-rsa/keys/dh2048.pem
option ifconfig_pool_persist /tmp/ipp.txt
option keepalive "10 120"
option comp_lzo no
option persist_key 1
option persist_tun 1
option status /var/log/openvpn-status.log
option verb 3
option server "10.0.0.0 255.255.255.0"
option client_to_client 1
list push "dhcp-option DNS 192.168.200.1"
list push "route 192.168.200.0 255.255.255.0"
Настройки client
client tls-client
dev tun
proto udp
remote МОЙ ВНЕШНИЙ IP 1194
resolv-retry infinite
nobind
ca ca.crt
cert client1.crt
key client1.key
dh dh2048.pem
persist-tun
persist-key
verb 3
firewall
config include
option path '/etc/firewall.user'
config rule
option target 'ACCEPT'
option name 'VPN'
option src 'wan'
option proto 'udp'
option dest_port '1194'
firewall user
iptables -t nat -A prerouting_wan -p udp --dport 1194 -j ACCEPT
iptables -A input_wan -p udp --dport 1194 -j ACCEPT
iptables -I INPUT -i tun+ -j ACCEPT
iptables -I FORWARD -i tun+ -j ACCEPT
iptables -I OUTPUT -o tun+ -j ACCEPT
iptables -I FORWARD -o tun+ -j ACCEPT

Answer 1

[mureevms]

Правильно ли я понял, Вам нужен доступ до подсети 192.168.201.0\24 для OpenVPN клиента?
Подсеть 192.168.200.0 доступна для клиента?
Если да, то надо просто запушить роут до этой подсети на ovpn сервере:

push "route 192.168.201.0 255.255.255.0"

Что за странные option перед параметрами на сервере, это такой синтаксис у openWRT? Тогда
list push "route 192.168.201.0 255.255.255.0"

Comments

[sogrin]

Да, до подсети 192.168.201.0\24 нужен доступ. Подсеть 192.168.200.0 при моей конфигурации тоже не доступна, хотя push на нее есть.
Я пробовал push "route 192.168.201.0 255.255.255.0" ничего не выходит, вот я и думаю, может кто подскажет с vlan'ами или настройками фаервола какие хитрые параметры есть.
Да, option это синтаксис openwrt.

[mureevms]

sogrin: попробуйте добавить правила
iptables -A FORWARD -s 10.0.0.0/24 -d 192.168.201.0/24 -j ACCEPT
iptables -A FORWARD -d 10.0.0.0/24 -s 192.168.201.0/24 -j ACCEPT

[mureevms]

sogrin: роуты на клиенте до подсети 192.168.201.0/24 поднимаются при подключении к ovpn серверу?

[sogrin]

mureevms: Поднимается маршрут до сети 192.168.200.1
но она в 1м vlane, в ней сам роутер и dhcp. А сеть 192.168.201.1 в 3м vlane, в котором один физический порт, со статическим адресом, подсоединенный к роутеру сетки 192.168.201.1.
Как-то так:

clientvpn(10.0.0.5)-->openvpn(10.0.0.1)(мой openwrt 192.168.20.1)его4port(192.168.201.250)-->сетка(192.168.201.0/24)

[mureevms]

sogrin: так-то ясно что надо сделать, но под рукой нет роутера, на который встанет OpenWRT, поэтому подсказать конкретно не смогу.

[sogrin]

mureevms: Спасибо, за попытку помочь!!!!