Как пробросить порты на сеть клиента OpenVPN на роутерах Asus?

Question

[ITsis]

Приветствую.
Такой вопрос:
есть 2 роутера asus, между ними настроен openvpn.
Asus1-server с белым ip типа 93.xx.xx.xx и сетью 192.168.0.0, Asus2-client, сеть 192.168.1.0

Как сделать так, чтобы при обращении на белый айпишник и допустим порт 80 можно было попасть на адрес 192.168.1.2:80 за клиентом?
Интернеты облазил, речение есть только для линуксовых решений. А тут вся суть в роутерах...

Answer 1

[Ziptar]

добавить маршрут на 192.168.1.0/24 через шлюз с адресом, который получает Asus2-client, устанавливая vpn-соединение =/

Интернеты облазил, речение есть только для линуксовых решений. А тут вся суть в роутерах...

Простите, а в чём разница с точки зрения маршрутизации?

Comments

[ITsis]

т.е. на vpn сервере в статических маршрутах добавить адрес сети 192.168.1.0/24 клиента а шлюзом указать например 10.8.0.10 который ведается клиенту?
или это делается в настройках соединения vpn на сервере? как показано ниже

[Ziptar]

ITsis, это делается в таблице маршрутизации роутера Asus1-server, хотя можно и пушить через ovpn.
В обратную сторону, соответственно, всё с точностью до наоборот.

[ITsis]

если я правильно понял - эта команда на сервере должна дать доступ с локалки за сервером к локалке за клиентом push "route 192.168.1.0 255.255.255.0" ?

[Ziptar]

ITsis, лучше всё же через таблицу маршрутизации.
Какие адреса имеют сервер и клиент ovpn?

[ITsis]

сервер 192.168.0.1 client 192.168.1.1 10.8.0.10

[Ziptar]

ITsis, ...
Так. Ещё раз:
1) адреса подсетей, в которые нужно маршрутизировать трафик за обоими роутерами в студию
2) openvpn должен быть настроен в режиме туннеля, то есть клиент должен получать адрес с маской /32; ethernet режим тут не нужен
3) адреса конченых точек openvpn туннеля не должны пересекаться с локальными подсетями за роутерами
4) адреса конечных точек openvpn туннеля в студию

[ITsis]

1) сеть за клиентом 192.168.1.0/24, за сервером 192.168.0.1/24 (из сети за клиентом пинается сеть за сервером)
2) openvpn настроен TUN UDP
адрес туннеля на клиенте 10.8.0.10
адрес на сервере 10.8.0.2

[Ziptar]

Для роутера с ovpn сервером в таблицу маршрутизации:
маршрут на 192.168.1.0/24 через шлюз 10.8.0.10
Для роутера с ovpn клиентом в таблицу маршрутизации:
маршрут на 192.168.0.0/24 через шлюз 10.8.0.2

И не забыть привязать 10.8.0.10 к клиенту намертво.

[ITsis]

Огромнейшее спасибо, Добрый человек!!!
Хватило прописать только маршрут на сервере и убрать пуши.
Стали видны хосты как с впн сервера за клиентом так и за впн сервером с впн клиента!

[Ziptar]

ITsis, пуш маршрута сервером клиенту, похоже, не убрался. Возможно слетит после переподключения, тогда нужно будет либо вернуть его в конфиг сервера, либо прописать маршрут на клиенте.
Маршрута на сервере недостаточно, оба роутера должны знать где находится искомая подсеть, чтобы смаршрутизировать туда трафик.
И ещё раз напоминаю - прибейте адрес клиента к нему гвоздями, чтобы он внезапно не сменился на другой из доступного для назначения диапазона.

[ITsis]

Да поторопился на радостях. Ноут подцепился не к той сети вот он и видел хосту за клиентом(((
Прописал на клиенте тоже маршрут - не помогло
Видны только хосты за сервером с клиентской сети, обратно не хочет(

[Ziptar]

ITsis,
Трассировку в обе стороны, пжста.

Вообще если хотя бы в одну сторону связь есть - значит уже всё нормально с маршрутизацией, т.к. ответы как бы тоже надо маршрутизировать. Ответы приходят - значит всё окей. Смотрите в сторону фильтров и прочее.

[ITsis]

Ладно буду искать, чую решение рядом.
Спасибо за помощь! Если решу проблему - напишу как)

[ITsis]

Проблема решилась пушами, но позже была необходимость снести роутер в дефолт и настраивать всё заново. А уже после повторной настройки решение с push "route" уже не срабатывает.
Так что проблема актуальна(((

[Ziptar]

ITsis, если перенастроил в режим tun (туннелирование), то попробуй переключить в режим tap (ethernet)

[ITsis]

Ziptar, Приятно через столько времени видеть тех же людей)))
Дело в том, что туннелями за всё это время и много устройств конечных обросло и опасаюсь, как бы переход на tap не поломал бы всё остальное.
Иными словами починю(если удастся) одно но какой ценой)))

[Ziptar]

ITsis, если не вариант, то смотри как настраивать internal routing на овпн сервере.

Приятно через столько времени видеть тех же людей)))

Дык уведомление пришло на коммент к ответу

[ITsis]

C internal routing всё понятно, проблема в том, что при попытка через терминал исправить конфиг асуса он не сохраняется.
Я у себя уже за всё время изменил посети, теперь на асусе-сервере сеть 192.168.5.0, на клиенте - 192.168.6.0
Чтобы не мешать работать на той стороне поднял машину на ubuntu(192.168.6.51)и положил конфиг впн клиента туда.
В итоге по маршрутам видно что с неё я могу пинговаться за сервер а вот обратно всё так же йух.
Фаервола на убунте нет, на асусе сервере почему-то тупо не применяются дополнительные настройки из веб морды, ну а из терминала уже писал, что не сохраняются.
На всякий случай приложу конфиг веб морды, и таблицы маршрутов сервера и клиента вдруг мысли какие появятся.
уже в поддержку асуса написал вдруг поможет, хотя надежды мало.

[Ziptar]

ITsis, не, ну если что-то не сохраняется или не применяется - тут уж я точно не помогу. Тем более не имея асуса под рукой.
Если у тебя в одну сторону с одного конечного узла (не впн сервера или впн клиента, а тех узлов, что за ними) до другого конечного узла пинг идёт, значит связность есть, обратные маршруты работают. То, что при этом пинг не идёт в обратную сторону - первым делом фаерволы проверять, особенно виндовые, если один из конечных узлов на винде. Оно по умолчанию пинги не пускает.

[ITsis]

Винды нет.
На клиентской стороне отключил UFW на убунте, не помогло,
продолжаю поиски, жду инфу от ТП асуса.
Тут пишу уже скорее для того, чтобы потом самому наткнуться если проблему решу и она снова повторится)

Answer 2

[ITsis]

Пишу для себя, если снова вернусь к данной проблеме, но и для тех, кто столкнется с тем же.

Подводя промежуточный итог выяснилось, что при подключении клиента через интерфейс TUN можно видеть хосты за сервером, но хосты за клиентом не видны.
Как и предполагалось проблема в маршрутах. Нужный маршрут просто не строится не зависимо добавляется/
Route или push route в пользовательской конфигурации не помогают.
При изменении конфига по SSH, роутер его не сохраняет.
Поддержка Asus сообщила что менять таким образом конфиг нельзя, так же сообщили, что ручное изменение маршрута в асусах так же не поддерживается.
В итоге с их слов хочешь чтобы хосты за vpn видели друг друга - используй TAP. И пофиг, что например на шлюзе под ubuntu без проблем всё работает на TUN.

Так что пока вяло буду искать вариант решения учитывая что раньше точно работало на TUN.(может дело в прошивке. от ТП больше ничего полезного не узнать)