OpenVPN Win. Не видна сеть за сервером. Как настроить маршрутизацию?

Question

[Aramis087]

Здравствуйте!
Появилась у меня задачка, реализовать доступ в интернет (адрес) для дополнительного офиса через главный офис.
А теперь по порядку:
Имеется офис1 и офис2.
Офис1 - ПК1 OpenVPN Server,
Офис2 - ПК2 OpenVPN Client.
В Офис1 и Офис2 разные подсети.
Доступ с ПК1, на ПК2 работает хорошо, как из подсети 10.8.0.0 так и 192.168.0.0 192.168.0.1
Проблема в том, что ПК2 не видит другие ПК из Офиса1, соответственно и не видит шлюз, через который можно организовать доступ.

Конфиг сервера:

dev tun
proto udp
port 111
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
topology subnet
route-method exe
route-delay 5
server 10.8.0.0 255.255.255.0
route-gateway 10.8.0.1
client-config-dir "C:\\Program Files\\OpenVPN\\ccd"
route 10.8.0.0 255.255.255.0
cipher AES-128-CBC
comp-lzo
mssfix
keepalive 10 120
verb 3

Файл настройки клиента:
ifconfig-push 10.8.0.5 255.255.255.0
push "route 10.8.0.0 255.255.255.0"
push "route-gateway 10.8.0.1"
iroute 192.168.0.0 255.255.255.0

Конфиг клиента:

client
dev tun
proto udp
remote 111 111
route-method exe
route-delay 5
route 192.168.1.0 255.255.255.0
pull
ca ca.crt
cert client.crt
key client.key
cipher AES-128-CBC
nobind
comp-lzo
persist-key
persist-tun
verb 3

Comments

[Aramis087]

Я остановился на установке клиентов на компы второго офиса.
Вот видео не плохое по site to site https://youtu.be/ViCeYVcKwms

[flashix]

Aramis скинь пожалуйста исходник уже работающего сервера openVpN.. я уже недели две пытаюсь локальную сеть настроить за клиентом и серваком - ничего не получается (( ,

Answer 1

[Aramis087]

Получилось!
Как всегда, всё проще пареной репы :)
OpenVPN может создавать маршрутизируемый туннель и ethernet туннель, что и нужно мне было. В этом случае, мы выдаем не занятые IP адреса клиентам VPN, прямо из локальной сети.
Нужно создать мост между локальной сетью и адаптером OpenVPN.
Прописать в настройках нового моста IP и маску адаптера локальной сети.
В конфиге сервера заменить dev tun на dev tap
Добавить dev-node tap-bridge
Заменить параметр server на
server-bridge <Маска> <Диапазон IP локальной сети сервера, которые будет выдавать сервак клиентам>

В конфиге клиента надо заменить dev tun на dev tap
Дока: openvpn.net/index.php/open-source/documentation/mi...
Всем спасибо за наводящие вопросы!

Comments

[MaxPayne07]

Помоги и мне настроить)

Answer 2

[Konstantin Kozhin]

Попробуйте добавить в конфиг сервера:

# Uncomment this directive to allow different
# clients to be able to "see" each other.
# By default, clients will only see the server.
# To force clients to only see the server, you
# will also need to appropriately firewall the
# server's TUN/TAP interface.
client-to-client

Comments

[Aramis087]

Смогу проверить только вечером.

[Aramis087]

Не помогло (

Answer 3

[kodi]

@Aramis087
ПК1 - это не основной шлюз (не шлюз в интернет) в сети офиса1?
А маршрутизацию Вы включили? написано только про поднятый впн канал.

Answer 4

[Aramis087]

У ПК1 есть 2 сетевые карты (не считая интерфейс OpenVPN)
1я - прямой доступ в инет с внешним IP
2я - доступ в локальную сеть офиса1

Шлюзом в Офисе1 выступает железный роутер.

Служба маршрутизации включена и на ПК1 и на ПК2.

Если указывать маршрут на ПК2 до нужного внешнего IP с шлюзом ПК1 - тоже не проходит

Comments

[Aramis087]

@kodi

[kodi]

@Aramis087 на компьютерах в сети1 у Вас дополнительные маршруты не прописаны?

[Aramis087]

Прописан маршрут для сети из Офиса2

Dest Mask Gateway Int
192.168.0.0 255.255.255.0 10.8.0.5 10.8.0.1

[Aramis087]

@kodi

[kodi]

@Aramis087 это где этот маршрут прописан?
я спрашивал про маршруты на компьютерах сети офиса2

[Aramis087]

@kodi этот маршрут прописан на VPN сервере в офисе1
Чтобы была связь из сети Офис1 192.168.1.0 в сеть Офис2 192.168.0.0

В Офис2 прописан маршрут
Dest Mask Gateway Int
192.168.1.0 255.255.255.0 10.8.0.1

[kodi]

@Aramis087 еще раз - "я спрашивал про маршруты на компьютерах!! сети офиса2", а не на маршрутизаторе

[Aramis087]

@kodi Это и есть маршрут на компьютере ПК2 в Офисе2, на котором установлен OpenVPN )

[kodi]

@Aramis087 компьютер на котором установлен OpenVPN - уже не компьютер в сети, маршрутизатор в сети. Или у Вас в офисе на каждом компьютере стоит OpenVPN клиент?

[Aramis087]

@kodi
В таком случае да, ПК1 и ПК2 - маршрутизаторы.
У нас установлены на 1м Пк в Офис1 и на 1м ПК Офис2 OpenVPN
Нужно, чтобы с компа ПК2 (на котором установлен OpenVPN) в Офисе2 можно было ходить в интернет, через железный роутер, который расположен в Офисе1 - через ПК1 (на котором установлен OpenVPN)

[kodi]

@Aramis087
только с пк2 в интернет будете ходить?
на "железном" маршрутизаторе в офисе1 надо прописать маршрут до подсети офиса2 через пк1. это первое про что надо сделать. после этого проверьте,ходит ли пинг

[Aramis087]

@kodi Маршрут прописал на роутере, но все равно не ходит (
Когда делаешь с ПК2 tracert 192.168.1.1 (до роутера из Офиса1) он пишет, что доходит до 10.8.0.1 и всё
А если tracer 192.168.1.50 (ПК1) то
192.168.1.1

[Aramis087]

и всё

[kodi]

@Aramis087 сложно Ваши сообщения читать. Нарисуйте схему сети с адресами. И написав сообщения, перечитывайте их как будто Вы ничего не знаете про свою сеть.
з.ы. последний сообщением Вы меня совсем запутали.

[Aramis087]

@kodi Да, думаю, со схемой будет проще разобраться. В ответе.

[Aramis087]

@kodi По моему, проблема в том, что ПК1 не может транслировать запросы из сети VPN 10.8.0.0 в сеть LAN 192.168.1.0
Когда набираешь tracert 192.168.1.1 - выводиться путь только до 10.8.0.1

Answer 5

[Aramis087]

Answer 6

[kodi]

@Aramis087 C роутера1 пинганите 10.8.0.1

Comments

[Aramis087]

@kodi С роутера1 не пингуется 10.8.0.1

[kodi]

@Aramis087 Это его локальный адрес, и маршрут даже прописывать не надо, значит на ПК1 не включена маршрутизация между интерфейсами.
Фаерволла нет там?

[Aramis087]

@kodi Фаерволл там настроен для этих сетей.
Появилась у меня одна идея, проверю её и отпишусь.

[kodi]

@Aramis087 в момент настройки фаерволл лучше отключить.

[Aramis087]

@kodi ...

[Aramis087]

Решение найдено!

Answer 7

[java-late]

Здравствуйте, у меня почти аналогичная ситуация с небольшими изменениями:

1) Имеется удаленный офис с сервером в локальной сети и с IP локальной сети (192.168.0.176). Удаленный роутер перебрасывает все необходимые порты на мой сервер, так что при примитивной конфигурации я подключаюсь по OpenVPN и доступаюсь к этому серверу либо по адресу 10.8.0.1 либо по его адресу локальной сети 192.168.0.176.

И это хорошо! =) но мне надо больше!)) - в сети удаленного офиса есть еще несколько Linux-машин к которым мне нужен доступ (например, 192.168.0.111), но как достучаться к ним - не знаю - не получается - менял конфиги уже несколько раз - не соображу что не так (очевидно мат.часть страдает).

2) Клиент находится за несколькими NAT:

192.168.3.0/24 --> 192.168.1.0 --> Internet --> Remote Office Router -->> OpenVPN Server

Comments

[java-late]

мне также нужно использовать ethernet-тоннель(tap) или можно обойтись маршрутизируемым(tun) ?

[Aramis087]

Как вариант, поставить на OpenVPN программу TMeter, которая будет натить трафик из сети 10.8.0.0 в 192.168.0.0