Как объединить сети посредcтвом OpenVPN?

Question

[i_goodwin]

Добрый день! Бьюсь над задачей объединения двух сетей при подключении к OpenVPN серверу.
Есть машина с Ubuntu Server (локальный адрес 192.168.0.100, шлюз 192.168.0.1), на ней крутится OpenVPN-сервер.
Есть удаленный клиент (локальный адрес 192.168.43.101, шлюз 192.168.43.1)
Есть файл конфигурации сервера OpenVPN:

port 1194
proto udp
dev tun
user openvpn
group openvpn
cd /etc/openvpn
persist-key
persist-tun
tls-server
tls-timeout 120
dh /etc/openvpn/dh.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/vpn-server.crt
key /etc/openvpn/server.key
crl-verify /etc/openvpn/crl.pem
tls-auth /etc/openvpn/ta.key 0
server 10.15.0.0 255.255.255.0
client-config-dir /etc/openvpn/ccd
client-to-client
topology subnet
max-clients 5
push "dhcp-option DNS 10.15.0.1"
push "route 192.168.0.0 255.255.255.0"
push "route 192.168.43.0 255.255.255.0"
route 10.15.0.0 255.255.255.0
route 192.168.43.0 255.255.255.0
comp-lzo
keepalive 10 120
status /var/log/openvpn/openvpn-status.log 1
status-version 3
log-append /var/log/openvpn/openvpn-server.log
verb 3
mute 20

Таблица маршрутизации на 192.196.43.101:

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0     192.168.43.1   192.168.43.101     55
        10.15.0.0    255.255.255.0         On-link        10.15.0.12    291
       10.15.0.12  255.255.255.255         On-link        10.15.0.12    291
      10.15.0.255  255.255.255.255         On-link        10.15.0.12    291
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
      192.168.0.0    255.255.255.0        10.15.0.1       10.15.0.12     35
     192.168.43.0    255.255.255.0         On-link    192.168.43.101    311
   192.168.43.101  255.255.255.255         On-link    192.168.43.101    311
   192.168.43.255  255.255.255.255         On-link    192.168.43.101    311
     192.168.79.0    255.255.255.0         On-link      192.168.79.1    291
     192.168.79.1  255.255.255.255         On-link      192.168.79.1    291
   192.168.79.255  255.255.255.255         On-link      192.168.79.1    291
    192.168.182.0    255.255.255.0         On-link     192.168.182.1    291
    192.168.182.1  255.255.255.255         On-link     192.168.182.1    291
  192.168.182.255  255.255.255.255         On-link     192.168.182.1    291
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link    192.168.43.101    311
        224.0.0.0        240.0.0.0         On-link     192.168.182.1    291
        224.0.0.0        240.0.0.0         On-link        10.15.0.12    291
        224.0.0.0        240.0.0.0         On-link      192.168.79.1    291
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link    192.168.43.101    311
  255.255.255.255  255.255.255.255         On-link     192.168.182.1    291
  255.255.255.255  255.255.255.255         On-link        10.15.0.12    291
  255.255.255.255  255.255.255.255         On-link      192.168.79.1    291

Таблица маршрутизации на сервере:

Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
default         192.168.0.1     0.0.0.0         UG    0      0        0 eth0
10.15.0.0       *               255.255.255.0   U     0      0        0 tun0
link-local      *               255.255.0.0     U     1000   0        0 eth0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0
192.168.43.0    10.15.0.2       255.255.255.0   UG    0      0        0 tun0

пинг с 192.196.43.101:
до 192.168.0.100 есть
до 192.168.0.1 нет
Вопрос: почему нет пинга и откуда в таблице маршрутизации взялся адрес 10.15.0.2?

Answer 1

[Dmitry]

откуда в таблице маршрутизации взялся адрес 10.15.0.2

это адрес туннельного интерфейса клиента, директивой

route 192.168.43.0 255.255.255.0

вы добавили этот маршрут в сеть клиента через него

пинга до 192.168.0.1 нет потому что этот хост вобще не в курсе о существовании сети 192.168.43.0 поэтому обратные пакеты отправляет согласно своей таблице маршрутизации, скорее всего, через провайдера, который их отбрасывает к чертям. Выходы из ситуации:
1) Настроить NAT на VPN-сервере
2) Прописать маршрут на 192.168.0.1 типа 192.168.43.0 via 192.168.0.100
3) И самый правильный вариант - для site-to-site vpn, сервер и клиент размещать на шлюзах по умолчанию

Comments

[i_goodwin]

1) Настроить NAT на VPN-сервере - я так понимаю, это универсальный вариант. Если правильно его настроить, то каждый хост первой сети будет видеть каждый хост второй сети?
Это про цепочки правил? Не поможете?

Нашел в сети это:
$iptables -I INPUT -p udp --dport 1194 -j ACCEPT
$iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
$iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
$iptables -I INPUT -i tun0 -p tcp --dport 80 -j ACCEPT

[Dmitry]

NAT на vpn-сервере позволит лишь хосту 192.168.43.101 видеть всю сеть 192.168.0.0/24. Для полноценного site-to-site (без зажигательных танцев с маршрутизацией и NAT) только третий вариант

По правилам

iptables -t nat -A POSTROUTING -s 192.168.43.101 -o eth0 -j MASQUERADE

имя интерфейса eth0 смените на свой

Answer 2

[Zzzz9]

Что за адрес 10.15.0.0?, это адрес сети.

Comments

[i_goodwin]

да, а что не так?