@rogovogor
Практикующий Сисадмин.

VPN маршрутизация в локальную сеть, какой и куда маршрут прописать?

Есть задача дать доступ к серверу терминалов извне, оставлять открытым не хочу!
Лучшим решением придумывается OpenVPN туннель.
Настраиваю предельно просто, все на Windows.
60ad5942ce7d4d39abb3d4ad716d7b68.PNG

конфиг сервера:
dev tun
proto tcp
port 443
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
topology subnet
server 10.8.0.0 255.255.255.0
push "route 192.168.0.0 255.255.255.0"
push "route 192.168.0.10 255.255.255.0"
client-to-client
cipher AES-128-CBC
mssfix
keepalive 10 120
verb 3

Конфиг клиента:
client
dev tun
proto tcp
remote 46.29.ХХХ.ХХХ 443 #микротик
ca ca.crt
cert admin.crt
key admin.key
cipher AES-128-CBC
nobind
persist-key
persist-tun
verb 3


Все подключается и работает, но только сервер RDP (192.168.0.10) никак не пингуется.
все остальные машины внутри сети доступны из туннеля без вопросов.

Чпокс наверное том, что сервер терминалов имеет шлюз по умолчанию 192.168.10.1, как и VPN сервер и маршруты не правильно идут?

netstat -r c VPN сервера:
C:\Users\Администратор>netstat -r
===========================================================================
Список интерфейсов
21...00 ff 2d f8 f6 6c ......TAP-Windows Adapter V9
16...ac 16 2d 88 07 c5 ......HP Ethernet 1Gb 4-port 331FLR Adapter #4
14...ac 16 2d 88 07 c4 ......HP Ethernet 1Gb 4-port 331FLR Adapter #3
1...........................Software Loopback Interface 1
13...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
15...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3
17...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #4
18...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.10.1 192.168.10.20 266
10.8.0.0 255.255.255.0 On-link 10.8.0.1 276
10.8.0.1 255.255.255.255 On-link 10.8.0.1 276
10.8.0.255 255.255.255.255 On-link 10.8.0.1 276
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.0.0 255.255.255.0 On-link 192.168.0.1 276
192.168.0.1 255.255.255.255 On-link 192.168.0.1 276
192.168.0.10 255.255.255.255 On-link 192.168.0.1 21
192.168.0.255 255.255.255.255 On-link 192.168.0.1 276
192.168.10.0 255.255.255.0 On-link 192.168.10.20 266
192.168.10.255 255.255.255.255 On-link 192.168.10.20 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.0.1 276
224.0.0.0 240.0.0.0 On-link 10.8.0.1 276
224.0.0.0 240.0.0.0 On-link 192.168.10.20 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.0.1 276
255.255.255.255 255.255.255.255 On-link 10.8.0.1 276
255.255.255.255 255.255.255.255 On-link 192.168.10.20 266
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.10.1 По умолчанию
===========================================================================

и с сервера терминалов:
C:\Users\1C>netstat -r
===========================================================================
Список интерфейсов
12...78 e3 b5 1a 8a 1f ......HP NC362i Integrated DP Gigabit Server Adapter #2
10...78 e3 b5 1a 8a 1e ......HP NC362i Integrated DP Gigabit Server Adapter
1...........................Software Loopback Interface 1
11...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
13...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
14...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.10.1 192.168.10.10 266
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.0.0 255.255.255.0 On-link 192.168.0.10 276
192.168.0.10 255.255.255.255 On-link 192.168.0.10 276
192.168.0.255 255.255.255.255 On-link 192.168.0.10 276
192.168.10.0 255.255.255.0 On-link 192.168.10.10 266
192.168.10.10 255.255.255.255 On-link 192.168.10.10 266
192.168.10.255 255.255.255.255 On-link 192.168.10.10 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.10.10 266
224.0.0.0 240.0.0.0 On-link 192.168.0.10 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.10.10 266
255.255.255.255 255.255.255.255 On-link 192.168.0.10 276
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.10.1 По умолчанию
===========================================================================


UPD: Клиенты, ессно. имеют IP 10.8.0.0/24

UPD2: трассировка с клиента на 192.168.0.10 идет сначала на 10.8.0.1 а потом теряется.
  • Вопрос задан
  • 3638 просмотров
Решения вопроса 1
@rogovogor Автор вопроса
Практикующий Сисадмин.
А ларчик то просто открывался... на OVPN SERVER была был выключен Windows Брандмауэр!!!
всем СПАСИБО!
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
MaxDukov
@MaxDukov
впишусь в проект как SRE/DevOps.
IMHO вот это
push "route 192.168.0.10 255.255.255.0"

лишнее. Вы уже прописали маршрут на сеть строкой
push "route 192.168.0.0 255.255.255.0"


или имелось в виду push "route 192.168.10.0 255.255.255.0"
Ответ написан
@AndreyHammer
Network/System admin
На терминальном сервере маршрут на 10.8.0.0/24 через 192.168.0.1 пропишите.
Другие машины доступны через vpn с клиента, так как у них default итак через 192.168.0.1
Ответ написан
@azazelpw
Linux SA
Клиент и сервер должны быть разными ip
Ну и конфиги такие, рабочие.
На примере соединения двух офисов.
Конфиг сервера
port 1194
proto tcp-server
dev tun
mode server
tls-server
client-to-client

ca /etc/openvpn/key/ca.crt
cert /etc/openvpn/key/server.crt
key /etc/openvpn/key/server.key

server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /etc/openvpn/cache.txt
client-config-dir ccd

route 192.168.1.0 255.255.255.0
keepalive 10 120
max-clients 30

persist-key
persist-tun
log /etc/openvpn/openvpn.log
log-append /etc/openvpn/openvpn.log
status /etc/openvpn/status.log
verb 1

===
в /etc/openvpn/cache.txt должны быть указаны ip которые выдаст сервер
client,10.8.0.2

Конфиг клиента
client
proto tcp
dev tun
remote %ipserver_inner% 1194
tls-client
ca /etc/openvpn/key/ca.crt
cert /etc/openvpn/key/client.crt
key /etc/openvpn/key/client.key
ns-cert-type server

resolv-retry infinite
keepalive 10 120
route 192.168.0.0 255.255.255.0
persist-key
persist-tun
log openvpn.log
status openvpn-status.log
verb 3
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы