OpenVPN routing?

Question

[Максим]

Есть задача настроить работу офиса через OpenVPN. Все должны ходить в интернет через VPN канал, но трафик в подсеть 192.168.18.0/24 должен по-прежнему идти через провайдера. По ряду причин могу использовать только настройки на серверной стороне. В теории в конфиг сервера записать что то типа push "route 192.168.18.0 255.255.255.0 10.10.1.1". Но шлюз не является фиксированным и при перезагрузке может смениться. Как такое реализовать?
Даже не знаю с какой стороны подойти.

Answer 1

[Александр]

мне кажется все на iptables делается

https://unixforum.org/viewtopic.php?t=115121

Answer 2

[ky0]

Ваша локальная подсеть и без пуша маршрута продолжит работать - если, конечно, 192.168.18.0/24 соответствует настройкам на офисных машинах.

Comments

[Александр]

мне кажется что подсеть 192.168.18.0/24 не единственная.
для подсети 192.168.18.0/24 выход без VPN, а для 192.168.10.0/24 только с VPN

Сначала я набрасал 10 вопросов к его вопросу.... потом все стер и кинул ссылку.
))))

[Максим]

Сеть 192.168.18.0/24 является внешней для офиса (локалка имеет адресацию 192.168.1.0/24).
В конфиге openvpn сервера добавил строчку push "redirect-gateway def1" и она работает - весь трафик на клиентском роутере заворачивается в vpn и проходит через сервер.
Но пакеты в подсеть 192.168.18.0/24 надо по-прежнему маршрутизировать во внешнюю сеть (сеть провайдера). А сейчас эти пакеты заворачиваются в vpn и я наблюдаю их по tcpdump -i tun0 net 192.168.18.0/24 на сервере.
Надо что то типа push "route 192.168.18.0 255.255.255.0 10.10.1.1", но чтобы адрес шлюза брался с DHCP провайдера (на данный момент это IP 10.10.1.1 и через пару недель он может поменяться, прецеденты уже были)
Важный момент - клиентом для openvpn сервера выступает роутер и к сожалению довольно убогий в плане настраиваемости, поэтому могу манипулировать только настройками сервера и пушить какие то настройки на клиентов.

[Максим]

Александр, а вот зря! Надо было задавать вопросы - это позволило бы внести ясность и возможно Вы смогли бы помочь.
Ссылка, к сожалению мимо, т.к. клиентом выступает роутер и нет возможности в нём добавлять свои правила iptables. Предложения по перепрошивке роутера на *wrt тоже не подойдут, т.к. там пром железка стоит и она завязана на пару сервисов вендора

[Александр]

Вопрос 1.
Для N-подсетей нужен N-шлюзов и как следствие N-роутеров.
Если шлюз 192,168,1,1 то с машины с IP 192,168,2,10 ping не пройдет если маска сети 255,255,255,0 даже если пропишите шлюз 192,168,1,1.
Исключение из правил = виртуальный коммутатор: на одном интерфейсе можно поднять очень много IP адресов, каждый из них будет своим шлюзом для подсетей, но интерфейс будет общим.

Вопрос: Сколько у вас независимых роутеров? Или ваши подсети созданы на WLAN-ах? Для всех подсетей общим будет шлюз 10.10.1.1?

[Максим]

Александр, боюсь без картинки ненаглядно получается!

Итак,
1. с компа 192.168.1.2 весь доступ в интернет должен проходить через OpenVPN сервер
2. в тоже время должен быть доступен сервер 192.168.18.2, который в интернет не торчит.
Настройки на маршрутизаторе провайдера уже есть (всё работает - проверено), требуется корректно задать таблицу маршрутизации на роутере с помощью конфига openvpn сервера.

Сколько у вас независимых роутеров?

Если подразумеваются именно "железки", то 5 роутеров, по одному на каждый "филиал".

Вообще я вроде нашёл то что надо - route_net_gateway параметр называется. Надо только проверить где то.

[Александр]

Негде испытать :)
eth0 - Внутреняя сеть
eth1 - Внешняя сеть

# Включаем NAT
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -j MASQUERADE
#Модули iptables
modprobe ip_gre (в старые времена нужна была)

#Разрешаем туннели
iptables -A FORWARD -p gre -j ACCEPT
#Разрешаем трафик от VPN сервера
iptables -A INPUT -i eth1 -p udp -m udp --sport 1194 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#Все остальное запрещаем
iptables -A FORWARD -i eth0 -j DROP

А также настройка VPN сервера: push "redirect-gateway def1". это заменит шлюз на шлюз VPN сервера и трафик пойдет через VPN.

По идеи Включаешь форвард (NAT), Разрешаешь VPN, И запрещаем Все остальное.
Есть у меня сомнения. gre - это для windows2008 VPN вроде. Как бы не пришлось прописывать побольше строчек с PREROUTING, POSTROUTING и FORWARD.

[Максим]

Александр, ну нет у меня возможности на роутере iptables настроить ((( Был бы рутовый доступ к железке - вопрос бы вообще не задавался. И натить ничего не надо было бы - одной таблицей маршрутизации можно было бы обойтись, а натить на сервере (это и правильнее и не потребуется порты пробрасывать если потребуется, ну и ресурсов на сервере больше)
И gre тут вообще и рядом не стоял - это просто протокол инкапсуляции и в openvpn он не используется.
Опция route_net_gateway не работает! На клиентской стороне ругается

Options error: route parameter gateway 'route_net_gateway' must be a valid address

Похоже остаётся только вагон маршрутов прописывать.

[Александр]

Максим,

ну нет у меня возможности на роутере iptables настроить

Я имел ввиду роутер 192,168,1,1...мне просто страшно становиться :). Там все прописывать ...
Насчет gre - ну тогда играть с портом 1194.

redirect-gateway
Pushing the redirect-gateway option to clients will cause all IP network traffic originating on client machines to pass through the OpenVPN server. The server will need to be configured to deal with this traffic somehow, such as by NATing it to the internet, or routing it through the server site's HTTP proxy.

Answer 3

[Максим]

На данный момент ничего умнее не придумал

push "route 0.0.0.0 128.0.0.0"
push "route 128.0.0.0 192.0.0.0"
push "route 192.0.0.0 255.128.0.0"
push "route 192.128.0.0 255.224.0.0"
push "route 192.160.0.0 255.248.0.0"
push "route 192.169.0.0 255.255.0.0"
push "route 192.170.0.0 255.254.0.0"
push "route 192.172.0.0 255.252.0.0"
push "route 192.176.0.0 255.240.0.0"
push "route 192.192.0.0 255.192.0.0"
push "route 193.0.0.0 255.0.0.0"
push "route 194.0.0.0 254.0.0.0"
push "route 196.0.0.0 252.0.0.0"
push "route 200.0.0.0 248.0.0.0"
push "route 208.0.0.0 240.0.0.0"
push "route 224.0.0.0 224.0.0.0"

Такой список роутов позволяет "вырезать" подсеть 192.168.0.0/16. То есть пакеты в подсеть 192.168.0.0/16 будут уходить в дефолтный шлюз роутера, а всё остальное пойдёт на сервер через VPN.

Comments

[Александр]

А не проще, хотя не уверен, не прописывать шлюз всех кроме 192.168.18.0/24. Все соединяются с внутреннем VPN-сервером, который имеет шлюз и соединяется с общим VPN-сервером. Увеличиваем сущности - что плохо.

[Максим]

Александр, увеличение сущностей не есть хорошо. Можно в общем то сделать так как я ниписал - пушить вагон маршрутов. И доп серверов не надо.
Думал, что может есть какая то переменная, которая интерпритируется в дефолтный шлюз на клиенте. Что то типа

push "route 192.168.18.0 255.255.255.0 $default_gateway"

[Александр]

Я обленился настолько сильно что OpenVpn поднимаю с помощью графических интерфейсов и все что пишется ручками я вспоминаю как было лет 10 назад.

Это только направление куда смотреть.
На VPN-сервере создаю соединение с наименованием "Сеть1".
На VPN-сервере создаю соединение с наименованием "Сеть2".
Для каждого соединения настройки могут отличаться (по мелочам).
Создаю Клиента для VPN-сервера. В настройках могу указать:
а)Сохранять шлюз по умолчанию или прописывать новый.
б)Какой сети принадлежит
в)Требуется ли Имя пользователя, пароль, сертификат

Каждый клиент подсетей соединяется только со своим туннелем. Я не помню чтобы я где то прописывал много PUSH-ей. )))