Почему не пингуется сеть за клиентом?

Question

[bamond]

День добрый.
Имеется:
OpenVPN сервер :
eth1 - 192.168.2.1 - local
tun0 - 192.168.40.1 - vpn

port 1194
mode server
proto tcp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
client-to-client
server 192.168.40.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push route 192.168.2.0 255.255.255.0
;push redirect-gateway tun0
route 192.168.1.0 255.255.255.0
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
log /var/log/openvpn.log
client-config-dir /etc/openvpn/ccd
verb 3

netstat -r
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
default         REMOTE_IP_ADDRESS  0.0.0.0         UG        0 0          0 eth0
localnet        *               255.255.255.240 U         0 0          0 eth0
192.168.1.0    192.168.40.2    255.255.255.0   UG        0 0          0 tun0
192.168.2.0    *               255.255.255.0   U         0 0          0 eth1
192.168.40.0    192.168.40.2    255.255.255.0   UG        0 0          0 tun0
192.168.40.2    *               255.255.255.255 UH        0 0          0 tun0

OpenVPN клиент :
eth1 - 192.168.1.50 - local
tun0 - 192.168.40.5 - vpn

client
dev tun
proto tcp
remote SERVER_IP_ADDRESS 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert user.crt
key user.key
ns-cert-type server
comp-lzo
log /var/log/openvpn.log
verb 3

netstat -r
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
localnet        *               255.255.255.0   U         0 0          0 eth1
192.168.2.0    192.168.40.5    255.255.255.0   UG        0 0          0 tun0
192.168.1.0    192.168.21.31   255.255.255.0   UG        0 0          0 eth1
192.168.40.0    192.168.40.5    255.255.255.0   UG        0 0          0 tun0
192.168.40.5    *               255.255.255.255 UH        0 0          0 tun0

из сети КЛИЕНТА ЛЮБАЯ машина может пропинговать ЛЮБУЮ машину из сети сервера.

Но со стороны сервера не пингуется даже интерфейс eth1 клиента. не говоря уже о машинах за клиентом.

Подскажите пожалуйста в чем может быть дело и куда копать ?

Так же есть одна тонкость что КЛИЕНТ НЕ ЯВЛЯЕТСЯ шлюзом для своей сети.

Роуты шлюза в сети 1.0

Destination        Gateway            Flags    Refs      Use  Netif Expire
localhost          link#5             UH          0    13695    lo0
192.168.1.0       link#1             U           9 4777923939    int
192.168.1.31      link#1             UHS         6        2    lo0
192.168.2.0       192.168.1.50      UGS         0   553876    int
192.168.40.0       192.168.1.50      UGS         0       32    int

Comments

[hrystenko]

Здраствуйте. Можете ли Вы поделится содержимым файла ifconfig-pool-persist ipp.txt который лежит на сервере?

Answer 1

[bamond]

Нашли проблему.
На сервере должен быть файл со следующий строчкой - iroute 192.168.1.0 255.255.255.0
/etc/openvpn/ccd/cname_client

cname_client - должен соответствовать сертификату user.src ( клиентскому )

Comments

[hrystenko]

"На сервере должен быть файл со следующий строчкой " подскажите, пожалуйста, в какой папке должен находится этот файл.
"cname_client" какое расширение должно быть в этом файле?

[bamond]

hrystenko: /etc/openvpn/ccd/cname_client
расширения у файла нет. cname = имя клиента по сертификату.

Answer 2

[Клёвый Админ]

Вот это смущает на сервере:
192.168.1.0 192.168.40.2 255.255.255.0 UG 0 0 0 tun0
Должно быть:
192.168.1.0 192.168.40.5 255.255.255.0 UG 0 0 0 tun0

На клиенте:
192.168.2.0 192.168.40.5 255.255.255.0 UG 0 0 0 tun0
А должно по логике:
192.168.2.0 192.168.40.1 255.255.255.0 UG 0 0 0 tun0

Странно как оно у вас вообще работает =)

Comments

[bamond]

НА СЕРВЕРЕ ( 1.0 подсеть )

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:192.168.40.1 P-t-P:192.168.40.2 Mask:255.255.255.255

НА КЛИЕНТЕ ( 2.0 подсеть )

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:192.168.40.6 P-t-P:192.168.40.5 Mask:255.255.255.255

Все ок , разве не?

[Клёвый Админ]

bamond: не совсем =) видно же что в итоге сервер и клиент в разных сетях? или я чего не понимаю.