OpenVPN, RRAS. Не видно сеть за клиентом

Question

[lhav]

Имеется сеть. OS Windows Server 2008 r2.


На Server 2 установлена роль RRAS. Настроен NAT.

Проблема в том что User 1 не видит User 2.

Конфигурация Server 1 (OpenVPN server)

port 1194
proto udp
dev tap
dev-node OpenVPN
ca «C:\\Program Files\\OpenVPN\\keys\\ca.crt»
cert «C:\\Program Files\\OpenVPN\\keys\\s-004.crt»
key «C:\\Program Files\\OpenVPN\\keys\\s-004.key»
dh «C:\\Program Files\\OpenVPN\\keys\\dh1024.pem»
server 172.16.11.0 255.255.255.0
ifconfig-pool-persist ipp.txt
route 172.17.0.0 255.255.0.0
push «route 172.16.11.0 255.255.255.0»
push «route 172.16.12.0 255.255.255.0»
push «dhcp-option DNS 172.16.12.2»
client-config-dir «C:\\Program Files\\OpenVPN\\ccd»
client-to-client
keepalive 10 120
duplicate-cn
persist-key
persist-tun
status openvpn-status.log
verb 3

Конвигурация клиента Server 2 в папке ccd

ifconfig-push 172.16.11.11 255.255.255.0
iroute 172.17.0.0 255.255.0.0

Конфигурация Server 2

client
dev tap
dev-node OPENVPN
proto udp
remote [адрес сервера OpenVPN] 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert s-008.crt
key s-008.key
ns-cert-type server
verb 3

Вывод команды route print User 1 (OpenVPN client)

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 172.16.12.1 172.16.12.4 261
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.16.12.0 255.255.252.0 On-link 172.16.12.4 261
172.16.12.4 255.255.255.255 On-link 172.16.12.4 261
172.16.15.255 255.255.255.255 On-link 172.16.12.4 261
172.17.0.0 255.255.0.0 172.16.11.11 172.16.12.4 6
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 172.16.12.4 261
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 172.16.12.4 261
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 172.16.12.1 По умолчанию

Comments

[ntkt]

Что бы я сделал сначала: распечатал route print со всех четырех хостов, разложил рядышком на столе и проверил глазами. Может опечатка где закралась?

Answer 1

[lhav]

В том то и дело, что ни где опечатки нет. Проблема в службе RRAS на Server 2. Не понятно почему он не хочет натить трафик.

Answer 2

[Александр Иванов]

tracert где затыкается? До 172.16.11.11 есть пинги?

Comments

[lhav]

Tracert загибается на 172.16.11.11. Пинги до него есть.

Answer 3

[Archangel]

А как настроен НАТ на Server 2. Если вы натите трафик от User 2 средсвами RRAS-а на Server 2, то фактически скрываете сеть 172.17.0.0/16 от сети 172.16.12.0/24 и 172.16.11.0/24. Т.е. если вы с User 1 будете отбращаться на IP из 172.17.0.0 то пакет туда придет 172.16.12.2 <-> 172.17.0.2, т.к. между серверами маршрутизация, и Server 2 свою сеть знает, посему просунет пакет согласно on-link маршруту. А вот обратно, когда User 2 ответит, Server 2, перехватит его пакет и NAT заменит адрес источника на адрес сервера. А теперь смотрите запрос 172.16.12.2 <-> 172.17.0.2, а ответ 172.16.11.11 <-> 172.16.12.2. Конечно ответный запрос не будет обработан, т.к. User 1 не поймет, ответом на что он является.

Итого: Ни RRAS ни VPN тут не при чем. Проблема в принципиальной схеме. Либо надо делать маршрутизацию Сеть<->Сеть, либо настраивать NAT на Server 2 на проброс портов, и просовывать их на IP клиента (User 2), ну и обращаться соответственно на IP Server 2 (который конец OpenVPN тоннеля), но я бы делал первый вариант, он проще, гибче и логичнее. Настройки OpenVPN тут в общем-то и не имею значения, лучше бы привели настройки RRAS-а.

Answer 4

[smartlight]

а зачем вам НАТ?
1. настройте для юзер2 выдачу подсети от юзер1 лучше это сделать через ccd.