VPN маршрутизация на Windows возможно ли?

Question

[Temp-User_0000]

На ПК с Windows я поднял OpenVPN, L2TP/IPsec и PPtP/IPsec впн сервера. При этом OpenVPN сервера поднято 2, один для всех (dev tap + proto tcp), другой для Android (dev tun + proto udp). При этом первый сервер OpenVPN является мостом и клиенты получают IP-адреса сети сервера и являются участниками локальной сети, а второй OpenVPN сервер (dev tun...), L2TP/IPsec и PPtP/IPsec выдают клиентам свои IP адреса и шлюзом является ПК. При этом настроенна маршрутизация (конфиги внизу), но пакеты дальше ПК не уходят. При подключении со второго OpenVPN можно зайти на данный комп и по адресу, выданному сервером OpenVPN и по адресу локальной сети, но подключиться к другим устройствам локальной сети или выйти в интернет нельзя! По L2TP вообще нельзя выйти за пределы подсети vpn. В чём дело, что делать и как настроить VPN тунели так, чтоб впн клиенты могли получить доступ к локальной сети и интернету?!

Первый OpenVPN сервер

Конфиг сервера

;local a.b.c.d
port 65532
proto tcp4-server
;proto udp
dev tap
;dev tun
dev-node TrainzCityVPN
ca ca.crt
cert TrainzCityVPN.crt
key TrainzCityVPN.key  # This file should be kept secret
dh dh4096.pem
;topology subnet
;server 10.8.0.0 255.255.255.0
ifconfig-pool-persist "C:\\Program Files\\OpenVPN\\log\\ipp.txt"
server-bridge 192.168.2.1 255.255.255.0 192.168.2.100 192.168.2.150
server-bridge
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.0.0 255.255.255.0"
route-delay 5
route-method exe
client-config-dir "C:\\Program Files\\OpenVPN\\config\\ccd"
;route 192.168.40.128 255.255.255.248
;push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
client-to-client
;duplicate-cn
keepalive 10 120
tls-auth ta.key 0 # This file is secret
key-direction 0
cipher AES-256-CBC
;compress lz4-v2
;push "compress lz4-v2"
comp-lzo
;max-clients 100
;user nobody
;group nogroup
persist-key
persist-tun
log         "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
log-append  "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
verb 3
mute 20
#explicit-exit-notify 1

Полный конфиг:

Конфиг клиента на сервере

ifconfig-push 192.168.2.105 10.8.0.106

push "route 192.168.0.0 255.255.255.0"

# disable

Конфиг клиента

client
dev tap
;dev tun
;dev-node MyTap
proto tcp4-client
;proto udp
remote trainzcirty.myftp.org 65532
;remote my-server-2 1194
;remote-random
resolv-retry infinite
nobind
;user nobody
;group nobody
persist-key
persist-tun
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
;mute-replay-warnings
ca ca.crt
cert Glebka.crt
key Glebka.key
remote-cert-tls server
tls-client
tls-auth ta.key 1
key-direction 1
cipher AES-256-CBC
verb 3
mute 20

Полный конфиг:

Второй OpenVPN сервер:

Конфиг сервера

;local a.b.c.d
port 65532
;proto tcp-server
proto udp4
;dev tap
dev tun
dev-node AndroVPN
ca ca.crt
cert TrainzCityVPN.crt
key TrainzCityVPN.key  # This file should be kept secret
dh dh4096.pem
;topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist "C:\\Program Files\\OpenVPN\\log\\ipp.txt"
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
;server-bridge
push "route 192.168.2.0 255.255.255.0"
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.0.0 255.255.255.0"
route 192.168.2.0 255.255.255.0 192.168.2.1
route-delay 5
route-method exe
client-config-dir "C:\\Program Files\\OpenVPN\\config\\ccd"
;route 192.168.40.128 255.255.255.248
;push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
client-to-client
;duplicate-cn
keepalive 10 120
tls-auth ta.key 0 # This file is secret
cipher AES-256-CBC
;compress lz4-v2
;push "compress lz4-v2"
comp-lzo
;max-clients 100
;user nobody
;group nogroup
persist-key
persist-tun
log         "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
log-append  "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
verb 3
mute 20
#explicit-exit-notify 1

Полный конфиг:

Конфиг клиента на сервере

ifconfig-push 10.8.0.5 10.8.0.6

iroute 192.168.43.0 255.255.255.0

route 192.168.2.0 255.255.255.0

push "route 192.168.2.0 255.255.255.0"

# disable

Конфиг клиента

client
dev tap
;dev tun
;dev-node MyTap
;proto tcp4-client
proto udp
remote trainzcirty.myftp.org 65532
;remote my-server-2 1194
;remote-random
resolv-retry infinite
nobind
;user nobody
;group nobody
persist-key
persist-tun
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
;mute-replay-warnings
ca ca.crt
cert Phone.crt
key Phone.key
remote-cert-tls server
tls-client
tls-auth ta.key 1
cipher AES-256-CBC
verb 3
mute 20

Полный конфиг:

Сервер L2TP

Настраивался по инструкции:

P.s.

Помогите, пожалуйста!

Comments

[Александр]

Почитай про proto tcp. Сами создатели пишут что не гарантируют работу )))

[res2001]

Александр, Да не, оно работает. Но хуже, чем на UDP. Особенно это проявляется при плохом канале связи.

[Temp-User_0000]

res2001,

Да не, оно работает. Но хуже, чем на UDP. Особенно это проявляется при плохом канале связи.

UDP даёт низкий пинг, а TCP - стабильность.

[res2001]

Temp-User_0000, Мне приходится иметь дело с сильно географически разнесенными ВПН клиентами. Скорости бывает проседают, пинг всегда низкий. В таких условиях ВПН на TCP еле жив, при удаленной работе - заметные не вооруженным взглядом лаги. При этом на UDP все работает вполне сносно. Если же по каким-то причинам качество связи еще больше проседает (что временами случается), то TCP просто умирает, тогда как на UDP появляются терпимые в этом случае лаги. Но приходится держать и TCP, т.к. некоторые клиенты не могут использовать UDP по не зависящим от них причинам.

[Ziptar]

Temp-User_0000, не знаю какую там у вас стабильность обеспечивает TCP для VPN решений, по-моему только безумное количество лишнего трафика генерирует в условиях плохой связи, чем усугубляет ситуацию.

Answer 1

[Александр]

Частичное решение...
Поставь галочку "Разрешить другим пользователям ... Интернет" в свойствах адаптера.

Comments

[res2001]

Это не решение - это костыль.

[Александр]

res2001, для ПК с Windows это решение, там специально для превращения в маршрутизатор и находиться галочка.
Частичное решение - потому что не решал я задачу с тремя VPN )))

[res2001]

Александр, Винду не нужно превращать в маршрутизатор - она умеет маршрутизировать по умолчанию из коробки. Даже не серверные версии, даже Home Edition.
Галочка лишь поднимает на винде сильно кастрированный DHCP сервер с некоторыми дополнительными настройками. Все это криво работает с большими ограничениями. Не пользуйтесь этой фигней никогда.
Расшарить инет с одной машины внутри локальной сети можно элементарными грамотными стандартными настройками, без подобных костылей.

[Александр]

res2001, Категорично не умеет, пока галочку не поставить.
Если существуют две подсети и две сетевые карты в винде. На одной сетевой карте есть доступ в интернет. И чтобы компьютеры второй подсети могли использовать данный комп как маршрутизатор необходимо установить галочку в настройках первого адаптера. По умолчанию все галочки сняты.

[res2001]

Александр, Категорично умеет. Я это делал со времен Windows 2000. Правда там приходилось 1 ключик в реестре руками исправлять.
Что я делаю не так?

PS: впрочем, наша дискуссия к вопросу отношения не имеет.

[Александр]

res2001, Согласен только

Все это криво работает с большими ограничениями. Не пользуйтесь этой фигней никогда.

)))

[res2001]

Александр, За маршрутизацию между сетевыми картами в винде отвечает единственный параметр в реестре:
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\IPEnableRoute (DWORD)
Если он выставлен в 0 (или его нет), то маршрутизация между сетевыми картами не работает. Выставляете его в 1 (создаете, если его нет), перезагружаете винду, пользуетесь.
Конечно DHCP сервер сам не поднимется и маршруты на компах в сети не пропишутся и DNS сервер не появится, это надо сделать отдельно. В мелких сетях проще назначить статические адреса и добавить статический маршрут, чем поднимать DHCP.
Пользуйтесь :-)

Посмотрел у себя на домашней Вин10 - параметр выставлен в 0.

[Ziptar]

res2001,

Галочка лишь поднимает на винде сильно кастрированный DHCP сервер с некоторыми дополнительными настройками.

Таки nat ещё.

Не пользуйтесь этой фигней никогда.

Ну почему сразу никогда? Если хорошо накуриться - можно. Но не нужно. :F

[res2001]

Ziptar, Точно, еще и NAT поднимается, такой же убогий как и все остальное.

[Temp-User_0000]

Александр,
res2001, у меня интернет сбриджован в мосту и там нет

галочки

[Александр]

Есть вероятность что это из за сетевого моста...
1. Выключил все адаптеры кроме одного - Нет вкладки доступ

2. Включил TAP адаптер - Есть вкладка

3.
а) первый сервер OpenVPN - подключает с ip адресами с маской локальной сети
б) второй OpenVPN сервер (dev tun...), L2TP/IPsec и PPtP/IPsec выдают клиентам ip адреса с маской х.х.х.х/32 , те сеть будет состоять из единственного компьютера.
4. Глючная эта штука, но может вWindows поправили ...очень давно не делал )))

Answer 2

[res2001]

Зачем вам server-bridge? Ниразу не видел openvpn работающий в этом режиме. Ну может оно и работает ...
Режим topology subnet + server наше все.
В общем когда ВПН клиент подключится к серверу останется только правильно настроить таблицы маршрутизации на ВСЕХ участниках обмена.

Comments

[Temp-User_0000]

res2001,

Зачем вам server-bridge?

Для того чтоб все vpn клиенты стали равноправными членами локальной сети и чтоб шлюзом являлся входной роутер, а не сервер ВПН.

Режим topology subnet + server наше все.

server используется, так как андроид кроме него ничего не поддерживает. Режим topology subnet запрещает выдачу более одного адреса одному клиенту одновременно, а идея в том, чтоб выдавать адреса сети основного шлюза устройствам, за клиентом впн.

В общем когда ВПН клиент подключится к серверу останется только правильно настроить таблицы маршрутизации на ВСЕХ участниках обмена.

То есть надо настраивать маршрутизацию и на основном и на промежуточных шлюзах?

[res2001]

Temp-User_0000,

Для того чтоб все vpn клиенты стали равноправными членами локальной сети

Оно вам точно надо? Вы в курсе, что в этом случае по ВПН будет передаваться весь широковещательный трафик, которого достаточно много внутри ЛВС? У вас хватит ширины каналов и производительности ВПН сервера?
На мой взгляд бриджи почти всегда - плохой вариант. Но, возможно, у вас какая-то специфическая ситуация и вам оно действительно нужно ...

То есть надо настраивать маршрутизацию и на основном и на промежуточных шлюзах?

Если у вас будет работать бридж, то скорее всего не нужно. При subnet нужно и не только на шлюзах, но и на конечных хостах внутри сетей, если они должны иметь доступ к хостам клиентам ВПН (тут то же не всегда, зависит от текущих настроек).

[Temp-User_0000]

res2001,

Оно вам точно надо?

Обязательно.

Но, возможно, у вас какая-то специфическая ситуация и вам оно действительно нужно ...

Да, ну вы знаете так оно и есть©

При subnet нужно и не только на шлюзах, но и на конечных хостах внутри сетей, если они должны иметь доступ к хостам клиентам ВПН (тут то же не всегда, зависит от текущих настроек).

Хорошо, спасибо, поработаю с маршрутизацией.

Answer 3

[CityCat4]

Да, Даня, "мы не ищем легких путей" - это про тебя :) Надо же додуматься - VPN сервер на винде ;)

Comments

[Temp-User_0000]

CityCat4,

Надо же додуматься - VPN сервер на винде ;)

Я пробовал на WSL, но кроме nginx и OpenSSH он похоже ничего не умеет;)

Подскажи где можно vpn сервер поднять, если не на Винде?!

[Александр]

Если лень разбираться, Ладно, Будем делать рекламу NethServer )))
Есть еще Zentyal Где то там есть ссылка на скачивание для разработчиков ))). А раньше была бесплатная )))
В этих сборках есть VPN

[CityCat4]

Александр, Zentyal - всего лишь сборка софта на линухе прикрытая сверху какой-то самописной мордой. Все, что предлагает Zentyal - можно сделать самому.

[Александр]

CityCat4, также как и NethServer (параметры с mtu не добавить, надо ручками в шаблоны лезть). Можно и webmin добавить, но это уже удаленное управление Linux.
Просто с сборками быстрее, очень ленивый я стал и никто не понимает как и что я это делаю )))

[Ziptar]

А что про SoftEther никто не вспомнил?