Настроить доступ к локальной сети клиентам OpenVPN в CentOS?

Question

[bald_uncle]

Добрый вечер, помогите с данным вопросом. В линуксе новичек.

На centos 8 настроен OpenVPN, клиенты подключаются без проблем. Один из клиентов роутер Mikrotik. Вот нужно настроить чтобы ПК микрота видили сеть сервера OpenVPN.
Настройка сети

enp0s3: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.25.101.2  netmask 255.255.254.0  broadcast 172.25.101.255

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0

tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1500
        inet 192.168.10.1  netmask 255.255.255.255  destination 192.168.10.2

файл server.conf openvpn

port 55000
proto tcp
dev tun

ca /etc/openvpn/server/keys/ca.crt
cert /etc/openvpn/server/keys/srv-openvpn.crt
key /etc/openvpn/server/keys/srv-openvpn.key
dh /etc/openvpn/server/keys/dh.pem

#VPN сеть
server 192.168.10.0 255.255.255.0

#Чтобы локалка клиентов видила сервак VPN
push "route 172.25.101.0 255.255.254.0" \\Локал сеть сервера
push "route 192.172.10.0 255.255.255.0" \\Сеть за микротом
push "route 192.168.10.0 255.255.255.0"

#Маршруты к сети за VPN
#Чтобы сервер VPN видел локалку
route 192.172.10.0 255.255.255.0

#параметры клиентов
ifconfig-pool-persist /etc/openvpn/client/ipp.txt
#клиеты видят друг друга
client-to-client
client-config-dir /etc/openvpn/client

keepalive 10 120

#tls-проверка подлиности
#tls-server
#tls-auth /etc/openvpn/server/keys/ta.key 0 # This file is secret
#tls-timeout 15

tun-mtu 1500
tun-mtu-extra 32
mssfix 1450

#Кодировка
cipher AES-256-CBC
auth SHA1

#Не пересматривать сертификаты после перезагрузки
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 6
mute 20

Вывод команды route

172.25.100.0    0.0.0.0         255.255.254.0   U     100    0        0 enp0s3
192.168.10.0    192.168.10.2    255.255.255.0   UG    0      0        0 tun0
192.168.10.2    0.0.0.0         255.255.255.255 UH    0      0        0 tun0
192.168.43.0    192.168.10.2    255.255.255.0   UG    0      0        0 tun0
192.172.10.0    192.168.10.2    255.255.255.0   UG    0      0        0 tun0

вывод iptables --list

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

ACCEPT     all  --  192.162.10.0/24      192.172.10.0/24
ACCEPT     all  --  192.162.10.0/24      172.25.100.0/23

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

вывод файла клиента

iroute 192.172.10.1 255.255.255.0
ifconfig-push 192.168.10.13 192.168.10.14

Вот что на микротике

Comments

[bald_uncle]

так как getaway автоматом выдавало 192,168,10,2 - который не пингуется
я вручную добавил маршрут и маскарад

route add -net 192.172.1.0/24 gw 192.168.10.1 tun0
iptables -A FORWARD -i tun0 -s 192.168.10.0/24 -d 172.25.100.0/23 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Но теперь у пользователь как подключается пропадает пинг на 8,8,8,8

Answer 1

[res2001]

Это лишнее:

push "route 192.172.10.0 255.255.255.0" \\Сеть за микротом
push "route 192.168.10.0 255.255.255.0"

Это уберите в файл клиента, в опцию iroute
route 192.172.10.0 255.255.255.0
Почему у вас локальная сеть за микротом имеет белые адреса? Вы арендуете у прова подсеть? (192.172.10.0/24)
Но это к делу отношения не имеет.

Вообще вам же, видимо, нужно что бы компы в сети за сервером ВПН имели доступ к компам за микротиком и наоборот?
Сама ВПН у вас настроена нормально. Это видно из того, что вы успешно подключаетесь к ВПН серверу и видимо с микротика имеете доступ к компам в сети за сервером ВПН.
У вас просто не хватает правил маршрутизации на компах в одной или в другой сети. Подозреваю, что ВПН сервер не является шлюзом по умолчанию для компов внутри сети и они не знают правильного маршрута до сети за микротиком.

Answer 2

[bald_uncle]

192.172.10.0/24 это адреса которые раздает mikrotik по dhcp для своих пользователей.

Вообще вам же, видимо, нужно что бы компы в сети за сервером ВПН имели доступ к компам за микротиком и наоборот?

- совершенно верно

Сама ВПН у вас настроена нормально. Это видно из того, что вы успешно подключаетесь к ВПН серверу и видимо с микротика имеете доступ к компам в сети за сервером ВПН.

- нет, я вижу только сервер и все

Подозреваю, что ВПН сервер не является шлюзом по умолчанию для компов внутри сети и они не знают правильного маршрута до сети за микротиком.

- тоесть, сеть микротика будет выходить в интернет через мой ВПН, я правильно понял? а можно это обойти?

можете подсказать как правильно строить маршрутизацию ?

Comments

[MaxKozlov]

В iptables какие-то мутные 192.162... в правилах. Форварда нужного нет как минимум

[bald_uncle]

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  192.168.10.0/24      172.25.100.0/23
ACCEPT     all  --  192.172.1.0/24       172.25.100.0/23

наданный момент так, но все равно не работает

[MaxKozlov]

bald_uncle,

Подозреваю, что ВПН сервер не является шлюзом по умолчанию для компов внутри сети и они не знают правильного маршрута до сети за микротиком.

Что с этим вопросом ? клиенты куда будут отвечать если к ним пакет придёт с VPN сервера ?

Маскарадинга нет никакого, так что клиенты должны знать куда передавать пакеты для 192.168.10.
там есть нужный роут ?

[bald_uncle]

Что с этим вопросом ? клиенты куда будут отвечать если к ним пакет придёт с VPN сервера ?

если пакет придет с VPN он должен направлен в локальную сеть
в севрвеном кнфиге я прописую

Маскарадинга нет никакого, так что клиенты должны знать куда передавать пакеты для 192.168.10.
там есть нужный роут ?

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE - вот так ?

[bald_uncle]

MaxKozlov, компанда route

[root@localhost openvpn]# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         _gateway        0.0.0.0         UG    100    0        0 enp0s3
172.25.100.0    0.0.0.0         255.255.254.0   U     100    0        0 enp0s3
192.168.10.0    192.168.10.2    255.255.255.0   UG    0      0        0 tun0
192.168.10.2    0.0.0.0         255.255.255.255 UH    0      0        0 tun0

192.172.1.0     192.168.10.2    255.255.255.0   UG    0      0        0 tun0

[bald_uncle]

MaxKozlov, с клиентов я пингую 192.168.10.1, но не 192.168.10.2

[bald_uncle]

MaxKozlov, так как getaway автоматом выдавало 192,168,10,2 - который не пингуется
я вручную добавил маршрут и маскарад
route add -net 192.172.1.0/24 gw 192.168.10.1 tun0
iptables -A FORWARD -i tun0 -s 192.168.10.0/24 -d 172.25.100.0/23 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
Но теперь у пользователь как подключается пропадает пинг на 8,8,8,8

[MaxKozlov]

bald_uncle,
маскарадинг тут ещё больше всё запутывает.
давайте распишем, а то походу много уже перенастроено

1 адрес клиента за центосом ?
2 адрес центоса 172.25.101.2
3 ovpn server на центосе 192.168.10.1
4 микротик как клиент ovpn 192.168.10.2
5 микротик является гейтом для киентов за ним? на каком адресе ?
6 адрес клиента за микротиком ?

[bald_uncle]

MaxKozlov,
1 - клинет микротик получает от VPN 192.168.10.13/24(статикой прописано), белый ip микрота 185.195.9.***
2 - серый адрес сервера 172.25.101.2/24 и проброшен порт 55000
3 -
tun0: flags=4305 mtu 1500
inet 192.168.10.1 netmask 255.255.255.255 destination 192.168.10.2
вот что имею после запуска сервера
4 - не могу сказать, так как клиентам настроенная статика
5 - да, микрот является шлюзом для сети 192.172.1.1/24
6- получает по DHCP, если нужна статика, то пускай будет 192.172.1.100

[MaxKozlov]

bald_uncle,

1. я имел ввиду сервера или что там есть за центосом. вначале у вас что-то про .100.хх, а здесь уже про .101.хх.

ну предположим....

итого.
5,6: 192.172.1.хх имеют дефолтный gateway 192.172.1.1 и они хотят идти к пп.1 куда-нибудь к 172.25.101.xx
то есть для них от того что микротик что-то делает ничего не меняется. значит тут настраивать не надо ничего
3,4: ovpn сервер имеет адрес 192.168.10.1, микротику он выделяет 192.168.10.13 и ставит ему маршрут 10.13 -> 10.14 (на картинке не видно, предполагаю только)

Микротик в этот момент должен знать что все пакеты для 172.25.101.0/24 надо слать на шлюз ovpn
- то ли на 192.168.10.14, то ли на 192.168.10.2 - не уверен как там правильно, но в любом случае на интерфейс ovpn-client микротика. - вот этот момент не настроен, похоже.

1,2: сервер пакеты получаемые с ovpn клиентов должен отправлять на свои внутренние адреса 172.25.101.0/24, а компы за центосом должны переправлять пакеты для 192.168.10.0/24 на сервер 172.25.101.2.

вот этого я тоже не вижу. на сервере вообще нет 101 - только 100. (впрочем это может быть ошибка :)