Почему клиент OpenVPN не видит сеть за сервером?

Question

[Gourii]

Здравствуйте. Знаю, что данная тема просто изжова в интернете, но никак не могу победить. Как сделать так, чтобы клиент видел сеть за сервером OpenVPN. Имеется домашняя сеть 192.168.0.0/24, в этой сети находится комп с Ubuntu Server 192.168.0.3. Сеть сервера 10.8.0.0/24. При подключении к серверу, клиент пингует других клиентов и сам сервер, а из внутренней сети сервера видит только его внутренний ip (192.168.0.3).

Конфиг сервера

***@ServerUbuntu:~$ cat /etc/openvpn/server.conf
port 1104

proto udp

dev tun
topology subnet

ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh2048.pem

server 10.8.0.0 255.255.255.0

client-config-dir ccd

#ifconfig-pool-persist /etc/openvpn/ipp.txt

#маршрут для клиентов до домашней сети
push "route 192.168.0.0 255.255.255.0"

route-gateway 10.8.0.1

tls-server
tls-auth /etc/openvpn/ta.key 0
tls-timeout 120
auth SHA1
cipher AES-256-CBC

client-to-client

keepalive 10 120

comp-lzo

max-clients 10

user nobody
group nogroup

persist-key
persist-tun

status openvpn-status.log
log /var/log/openvpn/openvpn.log

verb 3

mute 20

#crl-verify /etc/openvpn/crl.pem

management localhost 7701

Конфиги клиентов одинаковые.

Конфиг клиента

***@ServerUbuntu:~/openvpn-ca/clients-configs/work$ cat work.ovpn
pull
client
dev tun
proto udp

remote ***.org 1104

resolv-retry infinite

ca ca.crt
cert work.crt
key work.key
tls-client
tls-auth ta.key 1
auth SHA1
cipher AES-256-CBC
remote-cert-tls server
comp-lzo
persist-key
persist-tun

status openvpn-status.log
log openvpn.log
verb 3
mute 20

ccd клиента

***@ServerUbuntu:~$ cat /etc/openvpn/ccd/work
ifconfig-push 10.8.0.4 255.255.255.0

Добавил следующие правила в Iptables:

IPTABLES -A INPUT -i tun0 -j ACCEPT
IPTABLES -A FORWARD -i tun0 -j ACCEPT
IPTABLES -A FORWARD -s 10.8.0.0/24 -d 192.168.0.0/24 -j ACCEPT
IPTABLES -A FORWARD -s 192.168.0.0 -d 10.8.0.0/24 -j ACCEPT

Вывод Iptables -L не помещается в сообщение.

Answer 1

[res2001]

Потому что устройства внутри сети ничего не знают о существовании ВПН сети и шлют все ответы на шлюз по умолчанию. А шлюз по умолчанию у вас не является ВПН сервером, на сколько я понял. В итоге ответные пакеты теряются.
Нужно на каждом устройстве внутри сети добавить маршрут до ВПН сети через ВПН сервер.

Comments

[Gourii]

А в роутере, который является для домашних устройств шлюзом по умолчанию, можно настроить так, чтобы ответ возвращался на ВПН, чтобы не добавлять статические маршруты на каждом устройстве?

[res2001]

Gourii, можете попробовать.
У вас же наверняка роутер раздает сетевые адреса. DHCP поддерживает дополнительные опции, одна из опций - настройка маршрутов. Лучше использовать эту возможноть, если роутер это поддерживает.

[Alexey Dmitriev]

Gourii, маршрутизацию можно настроить как угодно.
Вы должны обеспечить одно из двух условий:
1. Запрашивающий клиент знает Ip шлюза за которым лежит подсеть, к которой нужно достучаться.
2. Шлюз по умолчанию запрашивающего клиента знает ip шлюза, за которым лежит подсеть, к которой нужно достучаться.

[Дмитрий]

добавьте

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

вместо eth0 просто подставьте имя интерфейса на OpenVPN сервере , который смотрит в локальную сеть.

[Gourii]

Спасибо за ответы. Буду пробовать.

[Gourii]

Спасибо всем! Теперь после добавления следующих правил условный клиент видит сеть за сервером:

sudo iptables -A INPUT -i tun0 -j ACCEPT
sudo iptables -A FORWARD -i tun0 -j ACCEPT
sudo iptables -A FORWARD -s 10.8.0.0/24 -d 192.168.0.0/24 -j ACCEPT
sudo iptables -A FORWARD -s 192.168.0.0 -d 10.8.0.0/24 -j ACCEPT
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o enp3s0 -j MASQUERADE