VPN маршрутизация в локальную сеть, какой и куда маршрут прописать?

Question

[Руслан Савельев]

Есть задача дать доступ к серверу терминалов извне, оставлять открытым не хочу!
Лучшим решением придумывается OpenVPN туннель.
Настраиваю предельно просто, все на Windows.


конфиг сервера:

dev tun
proto tcp
port 443
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
topology subnet
server 10.8.0.0 255.255.255.0
push "route 192.168.0.0 255.255.255.0"
push "route 192.168.0.10 255.255.255.0"
client-to-client
cipher AES-128-CBC
mssfix
keepalive 10 120
verb 3

Конфиг клиента:

client
dev tun
proto tcp
remote 46.29.ХХХ.ХХХ 443 #микротик
ca ca.crt
cert admin.crt
key admin.key
cipher AES-128-CBC
nobind
persist-key
persist-tun
verb 3

Все подключается и работает, но только сервер RDP (192.168.0.10) никак не пингуется.
все остальные машины внутри сети доступны из туннеля без вопросов.

Чпокс наверное том, что сервер терминалов имеет шлюз по умолчанию 192.168.10.1, как и VPN сервер и маршруты не правильно идут?

netstat -r c VPN сервера:

C:\Users\Администратор>netstat -r
===========================================================================
Список интерфейсов
21...00 ff 2d f8 f6 6c ......TAP-Windows Adapter V9
16...ac 16 2d 88 07 c5 ......HP Ethernet 1Gb 4-port 331FLR Adapter #4
14...ac 16 2d 88 07 c4 ......HP Ethernet 1Gb 4-port 331FLR Adapter #3
1...........................Software Loopback Interface 1
13...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
15...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3
17...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #4
18...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.10.1 192.168.10.20 266
10.8.0.0 255.255.255.0 On-link 10.8.0.1 276
10.8.0.1 255.255.255.255 On-link 10.8.0.1 276
10.8.0.255 255.255.255.255 On-link 10.8.0.1 276
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.0.0 255.255.255.0 On-link 192.168.0.1 276
192.168.0.1 255.255.255.255 On-link 192.168.0.1 276
192.168.0.10 255.255.255.255 On-link 192.168.0.1 21
192.168.0.255 255.255.255.255 On-link 192.168.0.1 276
192.168.10.0 255.255.255.0 On-link 192.168.10.20 266
192.168.10.255 255.255.255.255 On-link 192.168.10.20 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.0.1 276
224.0.0.0 240.0.0.0 On-link 10.8.0.1 276
224.0.0.0 240.0.0.0 On-link 192.168.10.20 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.0.1 276
255.255.255.255 255.255.255.255 On-link 10.8.0.1 276
255.255.255.255 255.255.255.255 On-link 192.168.10.20 266
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.10.1 По умолчанию
===========================================================================

и с сервера терминалов:

C:\Users\1C>netstat -r
===========================================================================
Список интерфейсов
12...78 e3 b5 1a 8a 1f ......HP NC362i Integrated DP Gigabit Server Adapter #2
10...78 e3 b5 1a 8a 1e ......HP NC362i Integrated DP Gigabit Server Adapter
1...........................Software Loopback Interface 1
11...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
13...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
14...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.10.1 192.168.10.10 266
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.0.0 255.255.255.0 On-link 192.168.0.10 276
192.168.0.10 255.255.255.255 On-link 192.168.0.10 276
192.168.0.255 255.255.255.255 On-link 192.168.0.10 276
192.168.10.0 255.255.255.0 On-link 192.168.10.10 266
192.168.10.10 255.255.255.255 On-link 192.168.10.10 266
192.168.10.255 255.255.255.255 On-link 192.168.10.10 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.10.10 266
224.0.0.0 240.0.0.0 On-link 192.168.0.10 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.10.10 266
255.255.255.255 255.255.255.255 On-link 192.168.0.10 276
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.10.1 По умолчанию
===========================================================================

UPD: Клиенты, ессно. имеют IP 10.8.0.0/24

UPD2: трассировка с клиента на 192.168.0.10 идет сначала на 10.8.0.1 а потом теряется.

Answer 1

[Руслан Савельев]

А ларчик то просто открывался... на OVPN SERVER была был выключен Windows Брандмауэр!!!
всем СПАСИБО!

Comments

[Макс]

точно, ступил.

Answer 2

[Макс]

IMHO вот это

push "route 192.168.0.10 255.255.255.0"

лишнее. Вы уже прописали маршрут на сеть строкой

push "route 192.168.0.0 255.255.255.0"

или имелось в виду push "route 192.168.10.0 255.255.255.0"

Comments

[Руслан Савельев]

Что лишнее, это я знаю, было добавлено от отчаяния. имел ввиду именно 192.168.0.10

[Макс]

ок.
мне не очень понятно, как у Вас "все остальные машины внутри сети доступны из туннеля без вопросов.", ну да ладно. попробуйте прописать маршрут либо на терминальнике, либо на микротике.
на терминальнике route add 10.8.0.0 mask 255.255.255.0 192.168.0.10

[Руслан Савельев]

Спасибо, попробуюпрописать та терминальнике, на микротик то зачем? он только пробросом порта занят же. все остальные доступны, видимо потому что у них 192.168.0.1 шлюз по умолчанию?

[Руслан Савельев]

Нет, к сожалению.

[Макс]

route add 10.8.0.0 mask 255.255.255.0 192.168.0.1 - лишний нолик.

Answer 3

[Andrey Hammer]

На терминальном сервере маршрут на 10.8.0.0/24 через 192.168.0.1 пропишите.
Другие машины доступны через vpn с клиента, так как у них default итак через 192.168.0.1

Comments

[Руслан Савельев]

C:\Users\1C> route add 10.8.0.0 mask 255.255.255.0 192.168.0.1
ОК

C:\Users\1C>netstat -r
===========================================================================
Список интерфейсов
12...78 e3 b5 1a 8a 1f ......HP NC362i Integrated DP Gigabit Server Adapter #2
10...78 e3 b5 1a 8a 1e ......HP NC362i Integrated DP Gigabit Server Adapter
1...........................Software Loopback Interface 1
11...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
13...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
14...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.10.1 192.168.10.10 266
10.8.0.0 255.255.255.0 192.168.0.1 192.168.0.10 21
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.0.0 255.255.255.0 On-link 192.168.0.10 276
192.168.0.10 255.255.255.255 On-link 192.168.0.10 276
192.168.0.255 255.255.255.255 On-link 192.168.0.10 276
192.168.10.0 255.255.255.0 On-link 192.168.10.10 266
192.168.10.10 255.255.255.255 On-link 192.168.10.10 266
192.168.10.255 255.255.255.255 On-link 192.168.10.10 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.10.10 266
224.0.0.0 240.0.0.0 On-link 192.168.0.10 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.10.10 266
255.255.255.255 255.255.255.255 On-link 192.168.0.10 276
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.10.1 По умолчанию
===========================================================================

и после с клиета при поднятом тунелле:
C:\Users\Ruslan>tracert 192.168.0.10

Трассировка маршрута к 192.168.0.10 с максимальным числом прыжков 30

1 68 ms 38 ms 38 ms SERVER-P [10.8.0.1]
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.

[Andrey Hammer]

Руслан Савельев: а с сервера до клиента как трассировка идет?

[Руслан Савельев]

OVPN server:
C:\Users\Администратор>tracert 10.8.0.2

Трассировка маршрута к ROOG [10.8.0.2]
с максимальным числом прыжков 30:

1 100 ms 118 ms 41 ms ROOG [10.8.0.2]

Трассировка завершена.
RDP server:
C:\Users\1C>tracert 10.8.0.2

Трассировка маршрута к 10.8.0.2 с максимальным числом прыжков 30

1 * * * Превышен интервал ожидания для запроса.
2 * * * Превышен интервал ожидания для запроса.
....

[Andrey Hammer]

Руслан Савельев: а пинг с терминального сервера до 192.168.0.1 есть?

[Руслан Савельев]

в обе стороны

Answer 4

[Azazel PW]

Клиент и сервер должны быть разными ip
Ну и конфиги такие, рабочие.
На примере соединения двух офисов.
Конфиг сервера
port 1194
proto tcp-server
dev tun
mode server
tls-server
client-to-client

ca /etc/openvpn/key/ca.crt
cert /etc/openvpn/key/server.crt
key /etc/openvpn/key/server.key

server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /etc/openvpn/cache.txt
client-config-dir ccd

route 192.168.1.0 255.255.255.0
keepalive 10 120
max-clients 30

persist-key
persist-tun
log /etc/openvpn/openvpn.log
log-append /etc/openvpn/openvpn.log
status /etc/openvpn/status.log
verb 1

===
в /etc/openvpn/cache.txt должны быть указаны ip которые выдаст сервер
client,10.8.0.2

Конфиг клиента
client
proto tcp
dev tun
remote %ipserver_inner% 1194
tls-client
ca /etc/openvpn/key/ca.crt
cert /etc/openvpn/key/client.crt
key /etc/openvpn/key/client.key
ns-cert-type server

resolv-retry infinite
keepalive 10 120
route 192.168.0.0 255.255.255.0
persist-key
persist-tun
log openvpn.log
status openvpn-status.log
verb 3

Comments

[Руслан Савельев]

Хороший конфиг, но только какое он имеет отношение к решению вопроса о маршрутизации? :)

[Azazel PW]

Руслан Савельев: делаем сервер и клиент и цепляемся с любой точки мира. Чтобы с левых серверов не цеплялись защищаемся через сертификаты. Если и сертификатов не хватает, тогда делаем доверенные ip через iptables.

Если вы хотите организвать доступ чисто к терминальнику, можно это сделать и без VPN используйте stunnel
У меня через stunnel доверенные сотрудники сразу цепляются к RDP. на винде делается батник, через который они цепляются.

[Руслан Савельев]

Azazel PW: Спасибо за совет, я сделал так же как и в первой части Вашего комментария, но есть загвоздка в маршрутизации. хочется же докопаться до истины и заставить мой сценарий работать.

[Azazel PW]

Руслан Савельев: соеденение устанавливается? пинги по 10.8.0.1 и 10.8.0.2 идут между собой?

[Руслан Савельев]

Все работает, пакеты идут во все сторон, и с клиента на сервер впн, и с клиента во внутреннюю подсеть, и в обратку, пакеты не идут ТОЛЬКО до сервера терминалов(192.168.0.10 на схеме) из впн сети и с него в сеть впн. в остальном работает ВСЕ! у него шлюз по умолчанию не 192,168,0,1 а 192,168,10,1 (микротик) думаю загвоздка в этом, но менять нельзя, маршрут на нем до 10,8,0,0\24 прописан через шлюз 192,168,0,1.

[Azazel PW]

а на микротике разрешен доступ с сетей 192.168.0.0/24 192.168.1.0/24 на 192.168.10.0/24?

[Руслан Савельев]

Azazel PW: Зачем? микротик занимается только тем, что пускает по 443 порту трафик для туннеля, раздает интернет на интерфейсы подсети 192.168.10.0/24. я же обращаюсь к серверам из впн подсети 10.8.0.0/24 на адреса подсети локалки - 192.168.0.0/24 и все работает кроме 192.168.0.10 (сервер терминоалов).

[Azazel PW]

Руслан Савельев:
В клиенте впишите
route 192.168.0.0 255.255.255.0
route 192.168.10.0 255.255.255.0
И будет счастье. Если с клиента 192.168.0.0 сеть винда, то и 192.168.10.0 увидится.

[Руслан Савельев]

На самом деле мне не нужно видеть подсеть 192.168.10.0, мне нужен 192.168.0.10. а подсеть 192.168.0.0/24 роутится без проблем за исключением одного сервера :(

[Azazel PW]

Руслан Савельев: по ICMP так же не отвечает? c 192.168.0.10 сеть 192.168.1.0/24 доступна?
На Сервере у вас 2 сети. Какой шлюз по умолчанию стоит?
скорее всего 192.168.10.1 поэтому у вас сервер пытается отдать пакеты через микротик.
А микротик не знает где сеть 192.168.1.0/24

Попробуйте tcpdump'ом отловить пакеты. На каком участке у вас происходит обрыв связи.

[Руслан Савельев]

в том то и дело что все про всех знают, только сервер терминалов не знает 10.8.0.0/24 а клиент впн не знает про 192.168.0.10
вот с микротика:
[admin@MikroTik] > ping 192.168.0.10
SEQ HOST SIZE TTL TIME STATUS
0 192.168.0.10 56 128 0ms
1 192.168.0.10 56 128 0ms
2 192.168.0.10 56 128 0ms
3 192.168.0.10 56 128 0ms
4 192.168.0.10 56 128 0ms
5 192.168.0.10 56 128 0ms
6 192.168.0.10 56 128 0ms
sent=7 received=7 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=0

[Azazel PW]

у вас 10.8.0.0 сеть на OpenVPN сервере.
На сколько мне понятна ситуация. с клиента VPN связи на 192.168.0.10 нет.
И нет потому что трафик доходит до сервера, но обратный маршрут построен неправильно.

Можете сделать статическую маршрутизацию с микротика на опенвпн сервер как вариант.

[Руслан Савельев]

"обратный маршрут построен неправильно". А как правильно маршрут провести, не включая в процесс микротик?

[Руслан Савельев]

Ведь на сколько я понимаю пакет должен заворачиватся на стороне опенвпн сервера? сразу в тоннель?

[Azazel PW]

Руслан Савельев: да сразу в впн заворачиватся должен.
Если не через микротик, то сделайте статический маршрут на сервере. что сеть 10.8.0.0 и сеть 192.168.1.0 расположена на сервере ОпенВпн.

[Руслан Савельев]

во так?
C:\Users\1C>netstat -r

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.10.1 192.168.10.10 266
------> 10.8.0.0 255.255.255.0 192.168.0.1 192.168.0.10 21 <-----

Если реч идет о сервере терминалов то там етот маршрут я добавил почти в первую очередь.

[Azazel PW]

С сервера 192.168.0.10 доступен адрес 10.8.0.1 ? а адрес 10.8.0.2?

[Руслан Савельев]

Azazel PW: C:\Users\1C>ping 10.8.0.1

Обмен пакетами с 10.8.0.1 по с 32 байтами данных:
Ответ от 10.8.0.1: число байт=32 время<1мс TTL=127
Ответ от 10.8.0.1: число байт=32 время<1мс TTL=127

Статистика Ping для 10.8.0.1:
Пакетов: отправлено = 2, получено = 2, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек
Control-C
^C
C:\Users\1C>ping 10.8.0.2

Обмен пакетами с 10.8.0.2 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Написано минуту назад

[Azazel PW]

Руслан Савельев: с 10.8.0.1 доступен 10.8.0.2? если да, то надо делать маршрутизацию на 10.8.0.1.
"Попробуйте tcpdump'ом отловить пакеты. На каком участке у вас происходит обрыв связи."