OpenVPN, как получить доступ к двум локальным сетям, через два интерфейса на сервере?

Question

[Ilejaja]

Добрый день! на сервере, где установлен openvpn подключены две локальные сети.
enp6s0 - 172.16.116.207/22 - 1 локальная сеть
enp7s0 - 192.168.16.3/24 - 2 локальная сеть
OpenVpn слушает 192.168.16.0 и клиент может получить доступ к машинам в данной сети
Во второй же сети, можно достучаться только до хост машины 172.16.116.207

Хотел получить доступ ко всем серверам во второй локальной сети)

route на сервере

default         _gateway        0.0.0.0         UG    0      0        0 enp7s0
default         _gateway        0.0.0.0         UG    100    0        0 enp6s0
10.8.0.0        10.8.0.2        255.255.255.255 UGH   0      0        0 tun0
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0
172.16.116.0    10.8.0.2        255.255.255.255 UGH   0      0        0 tun0
172.16.116.0    0.0.0.0         255.255.252.0   U     0      0        0 enp6s0
_gateway        0.0.0.0         255.255.255.255 UH    100    0        0 enp6s0
172.17.0.0      0.0.0.0         255.255.0.0     U     0      0        0 docker0
192.168.16.0    0.0.0.0         255.255.255.0   U     0      0        0 enp7s0

На клиенте

0.0.0.0         10.8.0.1        128.0.0.0       UG    0      0        0 tun0
default         192.168.123.1   0.0.0.0         UG    100    0        0 enp3s0
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0
91.238.231.83   192.168.123.1   255.255.255.255 UGH   0      0        0 enp3s0
128.0.0.0       10.8.0.1        128.0.0.0       UG    0      0        0 tun0
172.16.116.0    10.8.0.1        255.255.252.0   UG    0      0        0 tun0
192.168.123.0   0.0.0.0         255.255.255.0   U     100    0        0 enp3s0

Сам server.conf

port 5543
proto tcp
dev tun
user nobody
group nogroup
persist-key
persist-tun
keepalive 10 120
topology subnet
server 10.8.0.0 255.255.255.0
client-to-client
push "route 10.8.0.0 255.255.255.0"
push "route 172.16.116.0 255.255.252.0"
route "10.8.0.0 255.255.255.0"
route "172.16.116.0 255.255.252.0"
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 1.0.0.1"
push "dhcp-option DNS 1.1.1.1"
push "redirect-gateway def1 bypass-dhcp"
dh none
ecdh-curve prime256v1
tls-crypt tls-crypt.key 0
crl-verify crl.pem
ca ca.crt
cert server_F83Sk5qKWpZKL5Xb.crt
key server_F83Sk5qKWpZKL5Xb.key
auth SHA256
cipher AES-128-GCM
ncp-ciphers AES-128-GCM
tls-server
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
status /var/log/openvpn/status.log
verb 3

Comments

[res2001]

Судя по конфигу openvpn слушает все адреса на сервере.
Вы привели таблицу маршрутизации клиента, он в какой сети находится?
А таблица маршрутизации клиента из другой сети где?
Вам точно нужен маршрут по умолчанию через ВПН?
push "redirect-gateway def1 bypass-dhcp"
Кстати, openvpn лучше работает на UDP.
Хорошие настройки крипты!

[res2001]

Почему нет "push route " для второй сети? Думаю по этому вы и не можете выйти в эту сеть.

[Ilejaja]

res2001, Что интересно, что ко второй сети 192.168.16.x/24 есть доступ

[res2001]

Ilejaja, Кстати зачем эта директива:

route "172.16.116.0 255.255.252.0"

Она добавляет указанный маршрут в таблицу маршрутизации сервера, но этот маршрут у него и так есть, т.к. он член этой сети.
И посмотрите в таблицу маршрутизации сервера - там 2 маршрута к этой сети, тот что добавлен openvpn явно не правильный.

[res2001]

И еще уберите это:

push "route 10.8.0.0 255.255.255.0"
route "10.8.0.0 255.255.255.0"

Хорошо подумайте, нужно ли вам это:

push "dhcp-option DNS 1.0.0.1"
push "dhcp-option DNS 1.1.1.1"
push "redirect-gateway def1 bypass-dhcp"

Добавте push route для второй сети и все должно заработать.

[Ilejaja]

res2001, Спасибо огромное за замечания! Поправлю.

Проблема чуть в другом случилась

Answer 1

[Ilejaja]

Вот что помогло:
iptables -A FORWARD -i tun0 -o enp6s0 -j ACCEPT
iptables -t nat -A POSTROUTING -o enp6s0 -s 10.8.0.1-10.8.0.255 -j MASQUERADE

Comments

[res2001]

NAT не нужен. У вас все приватные сети, зачем NAT?
Может быть у вас не включена маршрутизация между интерфейсами?

[Ilejaja]

Неа, было предварительно включено

[Valentin Barbolin]

На лицо проблема с маршрутизацией.
Скорее всего на хостах в сети 172.16.116.0/22 указал GW который ничего не знает про сеть VPN клиентов). Когда вы включаете NAT соответственно, GW уже не участвует в маршрутизации трафика.

Зачем Вам 2ва интерфейса на VPN сервере?
VPN сервер может добраться до сети 172.16.116.0/22 через gw в сети 192.168.16.3/24 ?

Answer 2

[Berkutman]

Нат конечно хорошо но у вас тогда не будет маршрутизации между сетками и впн тунелем
enp6s0 - 172.16.116.207/22 - 1 локальная сеть
enp7s0 - 192.168.16.3/24 - 2 локальная сеть

Первый вариант самый простой :
172.16.116.207/22 и 192.168.16.3/24 должны знать что у вашего сервера есть эта подсеть
ip route add 10.8.8.0/24 via адрес впн сервера в локальной сети
ip route add 10.8.8.0/24 via адрес впн сервера в локальной сети

Либо он должен быть gateway или как там у вас в сети, либо добавлена сетка в процесс динамической маршрутизации.

Второй вариант создать bridge tap vpn
Т.е OpenVpn server создаете br0 интерфейс куда вгоняете интерфейс enp6s0 enp7s0 и созданный tap0 интерфейс онт впн и создаете либо новый пул либо вгоняете в один из существующих пулов

Так же не забываем про net.ipv4.ip_forward=1 >> /etc/sysctl.conf
sysctl -p

Да и почему нет push "route 192.168.16.3 255.255.255.0" ?