@Ilejaja

OpenVPN, как получить доступ к двум локальным сетям, через два интерфейса на сервере?

Добрый день! на сервере, где установлен openvpn подключены две локальные сети.
enp6s0 - 172.16.116.207/22 - 1 локальная сеть
enp7s0 - 192.168.16.3/24 - 2 локальная сеть
OpenVpn слушает 192.168.16.0 и клиент может получить доступ к машинам в данной сети
Во второй же сети, можно достучаться только до хост машины 172.16.116.207

Хотел получить доступ ко всем серверам во второй локальной сети)

route на сервере

default         _gateway        0.0.0.0         UG    0      0        0 enp7s0
default         _gateway        0.0.0.0         UG    100    0        0 enp6s0
10.8.0.0        10.8.0.2        255.255.255.255 UGH   0      0        0 tun0
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0
172.16.116.0    10.8.0.2        255.255.255.255 UGH   0      0        0 tun0
172.16.116.0    0.0.0.0         255.255.252.0   U     0      0        0 enp6s0
_gateway        0.0.0.0         255.255.255.255 UH    100    0        0 enp6s0
172.17.0.0      0.0.0.0         255.255.0.0     U     0      0        0 docker0
192.168.16.0    0.0.0.0         255.255.255.0   U     0      0        0 enp7s0


На клиенте

0.0.0.0         10.8.0.1        128.0.0.0       UG    0      0        0 tun0
default         192.168.123.1   0.0.0.0         UG    100    0        0 enp3s0
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0
91.238.231.83   192.168.123.1   255.255.255.255 UGH   0      0        0 enp3s0
128.0.0.0       10.8.0.1        128.0.0.0       UG    0      0        0 tun0
172.16.116.0    10.8.0.1        255.255.252.0   UG    0      0        0 tun0
192.168.123.0   0.0.0.0         255.255.255.0   U     100    0        0 enp3s0


Сам server.conf

port 5543
proto tcp
dev tun
user nobody
group nogroup
persist-key
persist-tun
keepalive 10 120
topology subnet
server 10.8.0.0 255.255.255.0
client-to-client
push "route 10.8.0.0 255.255.255.0"
push "route 172.16.116.0 255.255.252.0"
route "10.8.0.0 255.255.255.0"
route "172.16.116.0 255.255.252.0"
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 1.0.0.1"
push "dhcp-option DNS 1.1.1.1"
push "redirect-gateway def1 bypass-dhcp"
dh none
ecdh-curve prime256v1
tls-crypt tls-crypt.key 0
crl-verify crl.pem
ca ca.crt
cert server_F83Sk5qKWpZKL5Xb.crt
key server_F83Sk5qKWpZKL5Xb.key
auth SHA256
cipher AES-128-GCM
ncp-ciphers AES-128-GCM
tls-server
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
status /var/log/openvpn/status.log
verb 3
  • Вопрос задан
  • 95 просмотров
Решения вопроса 1
@Ilejaja Автор вопроса
Вот что помогло:
iptables -A FORWARD -i tun0 -o enp6s0 -j ACCEPT
iptables -t nat -A POSTROUTING -o enp6s0 -s 10.8.0.1-10.8.0.255 -j MASQUERADE
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
Berkutman
@Berkutman
Нат конечно хорошо но у вас тогда не будет маршрутизации между сетками и впн тунелем
enp6s0 - 172.16.116.207/22 - 1 локальная сеть
enp7s0 - 192.168.16.3/24 - 2 локальная сеть

Первый вариант самый простой :
172.16.116.207/22 и 192.168.16.3/24 должны знать что у вашего сервера есть эта подсеть
ip route add 10.8.8.0/24 via адрес впн сервера в локальной сети
ip route add 10.8.8.0/24 via адрес впн сервера в локальной сети

Либо он должен быть gateway или как там у вас в сети, либо добавлена сетка в процесс динамической маршрутизации.

Второй вариант создать bridge tap vpn
Т.е OpenVpn server создаете br0 интерфейс куда вгоняете интерфейс enp6s0 enp7s0 и созданный tap0 интерфейс онт впн и создаете либо новый пул либо вгоняете в один из существующих пулов

Так же не забываем про net.ipv4.ip_forward=1 >> /etc/sysctl.conf
sysctl -p

Да и почему нет push "route 192.168.16.3 255.255.255.0" ?
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы