Openvpn. Как пробросить локальную сеть клиента и дать компьютеру в сети статический ip?

Question

[Zohei]

Добрый день.
Все опенвпн клиенты имеют статические айпи адреса вида 10.8.1.N, для того чтобы с сервера по ssh ими управлять.
Один клиент обзавелся локальной сетью (соединение типа комп-комп). Этим компом в сети также нужно управлять со стороны сервера.
Возможно ли пробросить сеть до опенвпн и дать компьютеру в локалке статический айпи 10.8.1.M ???
Есть конечно вариант раздать по локалке интренет и поднять на этом компе из сети свой впн клиент.
Но хотелось бы решение проще, дабы обойтись без установки впн и генерации для него сертификатов.
Спасибо.

Comments

[Sanes]

В чем проблема генерации сертификата?

[Roman]

Может я туплю, но непонятно что Вы хотите сделать.
Вы <------>маршрутизатор<------интернет------> маршрутизатор <-----> сеть клиента <---> комп1

тогда https://habrahabr.ru/post/170895/

[Zohei]

Роман, не совсем.
Клиент 1 ходит в интернет через вайфай. Клиент 1 и Клиент 2 соединены в сеть напрямую без роутера.
Клиент 2 тоже хочет попасть в впн сеть и иметь при этом свой статический айпи.

[Roman]

как Клиент 1 и Клиент 2 общаются с внешним миром?

[Zohei]

Роман, клиент 1 через юсб модем.
клиент 2 сейчас никак. он только в локальной сети с клиентом 1.

[Roman]

winitpro.ru/index.php/2014/12/23/nastrojka-port-fo...

[Zohei]

Роман, дебиан везде))

[Roman]

по дефолту считается Windows/
Если Linux то надо указывать)

В Linux еще проще
admin-gu.ru/os/linux/probros-portov-port-forwardin...

[Zohei]

Роман, в тэгах указал))

[Максим Гришин]

клиент 2 сейчас никак. он только в локальной сети с клиентом 1.

Тогда поднять файрволл на клиенте 1 и пробросить на нем порт до SSH клиента 2. Айпишники будут общие, но по портам можно будет выбрать, какой комп пытаетесь админить. Не забыть на клиенте 1 ipv4 forward включить.

[Zohei]

Максим Гришин, ок, спасибо, значит буду осваивать iptables)

[Roman]

Zohei, пропустил

Answer 1

[hx510b]

можно сделать по-другому:

Вариант 1: прописать маршрут к этой сети на сервере, чтобы пакеты туда убегали.
я сделал так:
в файл /etc/openvpn/ccd/username добавил команду:
iroute 192.168.102.0 255.255.255.0
при соединении клиента username с openvpn сервером, на сервере поднимается маршрут к этой сети.
Но придется использовать уже две сети - одна для VPN, другая уже для сети за VPN клиентом.

Вариант 2: Прописать на первом компьютере еще один адрес в VPN сети, и прокинуть весь входящий трафик на этот адрес на второй комп с помощью трансляции адресов iptables. А если это касается конкретных сервисов, то сделать TCP-proxy помощью xinetd.