Как настроить маршруты для клиентов OpenVPN?

Question

[aphazel]

Суть такова:
сеть 192.168.24.0/23
маршрутизатор mikrotik 192.168.25.1
OpenVPN сервер с адресом 192.168.25.30, в нём внутри клиенты получают адреса подсети 10.8.0.0/30 (сервак раздаёт их сам).

Клиент успешно подключается из интернетов через маршрутизатор, попадая на OpenVPN и получая адрес 10.8.0.6. Дальше OpenVPN даёт клиенту маршруты и клиент спокойно ходит в подсеть 192.168.24.0/23. Из подсети 192.168.24.0/23 никто клиента с 10.8.0.6 не видит.

Как настроить доступ к клиенту 10.8.0.6? Какие настройки надо произвести на маршрутизаторе mikrotik и на OpenVPN сервере?

Comments

[aphazel]

Оказалось достаточно прописать маршруты на маршрутизаторе до сети 10.8.0.0/30.

Answer 1

[res2001]

Нужно настроить маршруты на компах сети до ВПН сети через ВПН сервер.
Теоретически можно настроить маршрут только на шлюзе по умолчанию в сети, но тогда пакеты будут ходить в ВПН через дополнительный узел, что, конечно, не добавит производительности сети.

Comments

[aphazel]

Хм, у меня клиенты будут не только с ПК, но и с мобильных устройств. Всё это нужно получается крутить в NATе на VPN серваке, а после прописывать маршруты до этой сетки в маршрутизаторе?

[res2001]

НАТ не нужен. Дополнительный маршрут можете раздавать опциями через DHCP.

[aphazel]

res2001, я запутался. Маршруты клиентам я выдал (они спокойно при подключении ходят в 192.168.24.0/23. К примеру у меня удалёнщик подключается к нашей инфраструктуре и хочет использовать телефонию. У него будут работать исходящие звонки, но не входящие - просто потому что до этого самого клиента из подсети 10.8.0.0/30 сейчас недостучаться. Как сделать их доступными для жителей сети 192.168.24.0/23 - вот в чём запара.

[res2001]

aphazel,

Нужно настроить маршруты на компах сети до ВПН сети через ВПН сервер.

Имеются в виду компы из сети 192.168.24.0/23.
Они же тупо не знают где находится сеть 10.8.0.0 и шлют пакеты для нее на шлюз по умолчанию.
Задайте им маршрут до сети 10.8.0.0 через ВПН сервер и все будет в ажуре.

[res2001]

В винде такая команда на каждом компе откуда нужен доступ к ВПН сети:
route -p add 10.8.0.0 mask 255.255.255.252 192.168.25.30

Как уже писал варианты централизованного прописывания маршрутов есть, например опциям через DHCP сервер.

[res2001]

Хотя вы пишете, что

клиенты спокойно ходят в сеть

, значит он получает ответы из сети, значит этот маршрут уже должен быть задан иначе бы спокойно не ходил. А значит и компы в сети должны видеть клиента ВПН. Возможно блокирует фаервол.

Или у вас все таки NAT на ВПН сервере поднят?

[aphazel]

res2001, как я понял, скорее всего там нат. Делал по мануалу https://www.digitalocean.com/community/tutorials/h...

[res2001]

aphazel, Да, судя по всему там NAT.
Но реально NAT не нужен, он только мешает. Можете выключить NAT и разрешить хождение пакетов из ВПН во внутреннюю сеть в фаерволе. Более конкретно не скажу, т.к. не силен в линуксовых фаерволах.
В целом мануал выглядит довольно толково, но не понятно зачем они туда воткнули NAT.

Answer 2

[aphazel]

Решено. Нужно было прописывать маршруты на маршрутизаторе и OpenVPN-сервере. При правильно прописанных маршрутах всё заработало.