Как сделать шлюз в другую подсеть через OpenVPN?

Question

[Falseclock]

Имеем внутреннюю сетку 192.168.1.0/24
В этой сетке есть узел (Debian, 192.168.1.198), который в качестве OpenVPN клиента соединяется с удаленным сервером.
Удаленный сервер имеет свою подсеть 192.168.10.0/24

Все работает, 192.168.1.198 успешно пингует сеть 192.168.10.0/24

Теперь надо на других узлах подсети 192.168.1.0/24 чтобы они тоже видели 192.168.10.0/24

Установил на одной из машин маршрут, подсесть 192.168.10.0/24 через 192.168.1.198
На 192.168.1.198 установил правило

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 192.168.10.0/24 -j MASQUERADE

Все работает, могу из сети 192.168.1.0/24 пинговать 192.168.10.0/24.

А вот наоборот из сети 192.168.10.0/24 не могу пинговать 192.168.1.0/24

Что надо подкрутить?

Answer 1

[Psq]

Скорее всего у вас на сервере не указан маршрут до сети 192.168.1.0/24 и сеть на том конце просто не знает куда отправлять пакеты.

Попробуйте добавить на сервере
route 192.168.1.0 255.255.255.0 # указываем подсеть, к которой будем обращаться через vpn
push "route 192.168.10.0 255.255.255.0" # передаем маршрут клиентам

В данной статье есть пример соединения двух офисов...

Comments

[Falseclock]

Задача стоит из машины, которая подключена клиентом к OpenVPN сделать маршрутизатором.

OpenVPN все нормально пушит и ставит руты. Все работает.

Я хочу указать для машин из сети 192.168.1.0/24, что подсеть 192.168.10.0/24 шла через шлюз 192.168.1.198.

Рутинг на клиентской машине поставил, трейсроут показывает, что 192.168.10.0/24 идет через 192.168.1.198, но вот сам 192.168.1.198 дальше никуда не пересылает..., хотя сам он пингует как надо

root@sandbox:/var/log# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth0
10.0.8.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.10.0    10.0.8.1        255.255.255.0   UG    0      0        0 tun0
root@sandbox:/var/log# ping 192.168.10.2
PING 192.168.10.2 (192.168.10.2) 56(84) bytes of data.
64 bytes from 192.168.10.2: icmp_seq=1 ttl=64 time=80.1 ms
^C
--- 192.168.10.2 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 80.199/80.199/80.199/0.000 ms
root@sandbox:/var/log#

[Falseclock]

kodi , может вы нам поможете? Вы калач то тертый в этом деле.

[Алексей]

Falseclock, подозреваю, нужно ещё добавить обратное правило NAT - из сети 192.168.10.0/24 в 192.168.1.0/24.

[Александр]

Falseclock, простите, если тупой вопрос, но ip forwarding вы включали? Firewall настраивали?

[Falseclock]

Алексей, добавлял, не помогает...

Satauchi Kimoto, если в одну сторону работает, то разумеется все включено.. вопрос маршрутизации и маскарадинга

[Falseclock]

В общем надо было для клиента принудительно добавить iroute, все заработало.