Как настроить маршрутизацию сети с openvpn?

Question

[alexfmos]

Друзья, впервые настраиваю сервер, прошу помощи у специалистов. Главное - сервер поднят и работает, с этим разобрался, но с маршрутизацией проблемы, я вообще в ней мало что понимаю, темный лес. Я три дня настраивал сервер, собирая информацию с десятков сайтов, но тут уже всё, силы иссякли.
Схема сети

spoiler

Я пингую или подключаюсь по RDP с HomePC1 к WorkPC1 по адресу 10.8.8.2, то есть сервер в порядке.
Что я хочу - подключаться с компьютеров HomePC 2-3 К тому же WorkPC1. К сожалению пока не могу понять как это сделать.
В идеале, если это возможно, то так же подключаться к любому WorkPC 2-3 Пока тоже не понимаю как это сделать.
Все машины windows 10. Open VPN последний 2.5.0. В конфигах я убрал все строчки с адресами route или iroute , потому что я понятия не имею что туда писать, и пытался с разных туториалов подобрать, но не вышло, поэтому тут решил не отображать. Так же, если что то в конфиге лишнее, скажите, я понятия ни имею о половине строчек, опять же о тех, что начинаются с route
Конфиг сервера

spoiler

proto tcp
port 1194
dev tun
tls-server
topology subnet
route-delay 5
server 10.8.81.0 255.255.255.0
route-gateway 10.8.81.1
client-config-dir "C:\\OpenVPN\\ccd"
ca "C:\\OpenVPN\\keys\\ca.crt"
cert "C:\\OpenVPN\\keys\\server.crt"
key "C:\\OpenVPN\\keys\\server.key"
dh "C:\\OpenVPN\\keys\\dh.pem"
tls-auth "C:\\OpenVPN\\keys\\ta.key" 0

cipher AES-256-GCM
comp-lzo
persist-key
persist-tun
verb 3
mute 20
keepalive 10 120
client-to-client
route-method exe
route-delay 5

duplicate-cn
status C:\\OpenVPN\\log\\openvpn-status.log
log C:\\OpenVPN\\log\\openvpn.log

Конфиг клиента

spoiler

client
proto tcp
port 1194
dev tun
remote HomeRouter.ru 1194
tls-client
remote-cert-tls server

pull
cipher AES-256-GCM
comp-lzo
persist-key
persist-tun
keepalive 10 120
verb 3
resolv-retry infinite


-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----



-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----



-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----



-----BEGIN OpenVPN Static key V1-----
...
-----END OpenVPN Static key V1-----


key-direction 1

На данный момент с компов HomePC 2-3 не пингуется ни сеть 10.8.8.X, ни сеть 192.168.0.X, а с компа HomePC1 только сеть 10.8.8.X, но не 192.168.0.X

Comments

[res2001]

На сервере покажите клиентский конфиг в C:\\OpenVPN\\ccd

[alexfmos]

res2001, он есть, но как я уже писал я ничего не понял в маршрутизации, поэтому в этом и вопрос - что где писать. Там две строки iroute чего то и push route чего то, но какие где должны быть адреса, я не понимаю

Answer 1

[res2001]

1. У вас на openvpn сервере и на клиенте винда? Какие версии и там и там? Если Home или Pro, то надо включить маршрутизацию: параметр в реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\IPEnableRouter (REG_DWORD) выставить в значение 1 и перезагрузиться. На серверной винде маршрутизация обычна уже включена.
2. на openvpn сервере в клиентский конфиг (находящийся в каталоге C:\\OpenVPN\\ccd) добавить директиву:
iroute 192.168.1.0 255.255.255.0
Это добавит на openvpn сервере маршрут к сети клиента при подключении клиента (при отключении - удалит).
3. в основной конфиг openvpn сервера добавить добавить директиву:
push "route 192.168.0.0 255.255.255.0"
Это добавит на клиенте маршрут до сети за сервером при подключении.
4. На остальных компах за сервером стоит шлюзом по умолчанию интернет роутер, поэтому они все пакеты, предназначенные клиентской сети шлют на роутер, а не на сервер opewnvpn. Вам надо добавить в таблицу маршрутизации на каждом компе в сети (кроме openvpn сервера) маршрут до клиентской сети командой:

route -p add 192.168.1.0 mask 255.255.255.0 192.168.0.2

Маршрут не обязательно добавлять руками, можно политиками AD или опциями при раздаче адреса в DHCP.
5. На компах в сети за клиентом происходит то же самое, что и в сети за сервером, только там маршрут будет немного другим:

route -p add 192.168.0.0 mask 255.255.255.0 192.168.1.2

Comments

[alexfmos]

Я выполнил Ваши указания. К сожалению это не помогло сетям увидеть друг друга. Не пингуются ни туда ни обратно. Только с компа сервер на комп клиента и всё.
Я не очень понимаю эту команду Route. Что именно она говорит и кому. Как то по простому можете объяснить?
И еще. Сейчас я обращаюсь с компа HomePC1 к WorkPC1 по адресу 10.8.81.2, как по такому же адресу обратится с компа HomePC2-3? Как им сказать что есть такая сеть как 10.8.8.X ?
И еще, если вы предлагаете в каждом компе HOMEPC-X исправить маршрут каким либо способом, то как это надо будет сделать , если это будет не комп, а смартфон android? Там тоже есть такая настройка?
Брандмауеры выключал на всех компах.

[res2001]

alexfmos,

Сейчас я обращаюсь с компа HomePC1 к WorkPC1 по адресу 10.8.81.2, как по такому же адресу обратится с компа HomePC2-3?

Никак не обратиться. HomePC2-3 не является клиентом ВПН и у него нет внутреннего адреса ВПН. Но это и не нужно.

Я не очень понимаю эту команду Route. Что именно она говорит и кому

Она говорит операционной системе компьютера на котором вы ее исполняете. Например команда

route -p add 192.168.0.0 mask 255.255.255.0 192.168.1.2

сообщает стеку TCP/IP ОС, что есть сеть 192.168.0.0 с маской 255.255.255.0 и доступна она через маршрутизатор 192.168.1.2. После этого, когда вы будете обращаться по адресу из этой сети, то пакеты будут идти через указанный маршрутизатор (а не через маршрут по умолчанию).

Я выполнил Ваши указания.

Приведите выполняемую команду пинг из одной сети в другую и ее вывод.
Приведите таблицу маршрутизации компа с которого пингуете и компа который пингуете.
Тогда можно будет дальше что-то обсуждать.

PS: есть серия статей по сетям "Сети для самых маленьких". Не смотря на название, статьи толковые и дадут базовые знания по сетям. Гуглите.

[alexfmos]

res2001,
команды cmd 192.168.1.2

spoiler

C:\OpenVPN\ccd>ping 192.168.0.162

Обмен пакетами с 192.168.0.162 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 192.168.0.162:
Пакетов: отправлено = 4, получено = 0, потеряно = 4
(100% потерь)

C:\OpenVPN\ccd>route print
===========================================================================
Список интерфейсов
17...........................Wintun Userspace Tunnel
21...b4 2e 99 4b 09 0c ......Intel(R) Ethernet Connection (7) I219-V #3
3...0a 00 27 00 00 03 ......VirtualBox Host-Only Ethernet Adapter
7...00 ff 2e d0 9b 5e ......TAP-Windows Adapter V9
1...........................Software Loopback Interface 1
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.81 192.168.1.2 25
10.8.81.0 255.255.255.0 On-link 10.8.81.1 281
10.8.81.1 255.255.255.255 On-link 10.8.81.1 281
10.8.81.255 255.255.255.255 On-link 10.8.81.1 281
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.1.0 255.255.255.0 On-link 192.168.1.2 281
192.168.1.2 255.255.255.255 On-link 192.168.1.2 281
192.168.1.255 255.255.255.255 On-link 192.168.1.2 281
192.168.56.0 255.255.255.0 On-link 192.168.56.1 281
192.168.56.1 255.255.255.255 On-link 192.168.56.1 281
192.168.56.255 255.255.255.255 On-link 192.168.56.1 281
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.56.1 281
224.0.0.0 240.0.0.0 On-link 10.8.81.1 281
224.0.0.0 240.0.0.0 On-link 192.168.1.2 281
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.56.1 281
255.255.255.255 255.255.255.255 On-link 10.8.81.1 281
255.255.255.255 255.255.255.255 On-link 192.168.1.2 281
===========================================================================

C:\OpenVPN\ccd>tracert 192.168.0.162

Трассировка маршрута к 192.168.0.162 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс router.asus.com [192.168.1.81]
2 <1 мс <1 мс <1 мс *адрес провайдера интернета*
3 <1 мс <1 мс <1 мс 198.18.5.2
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.
6 * * * Превышен интервал ожидания для запроса.
7 ^C

команды cmd 192.168.0.162 (в рисунке был указан для упрощения 192.168.0.2)

spoiler

C:\Windows>route print
===========================================================================
Список интерфейсов
15...........................Wintun Userspace Tunnel
8...b4 2e 99 31 10 77 ......Intel(R) Ethernet Connection (7) I219-V
11...0a 00 27 00 00 0b ......VirtualBox Host-Only Ethernet Adapter
16...00 ff a7 f2 0e 93 ......TAP-Windows Adapter V9
17...64 5d 86 74 dc e0 ......Intel(R) Wireless-AC 9560 160MHz
20...64 5d 86 74 dc e1 ......Microsoft Wi-Fi Direct Virtual Adapter
12...66 5d 86 74 dc e0 ......Microsoft Wi-Fi Direct Virtual Adapter #2
1...........................Software Loopback Interface 1
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.254 192.168.0.162 25
10.8.81.0 255.255.255.0 On-link 10.8.81.2 281
10.8.81.2 255.255.255.255 On-link 10.8.81.2 281
10.8.81.255 255.255.255.255 On-link 10.8.81.2 281
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.0.0 255.255.255.0 On-link 192.168.0.162 281
192.168.0.0 255.255.255.0 10.8.81.1 10.8.81.2 281
192.168.0.0 255.255.255.0 192.168.1.2 192.168.0.162 26
192.168.0.162 255.255.255.255 On-link 192.168.0.162 281
192.168.0.255 255.255.255.255 On-link 192.168.0.162 281
192.168.56.0 255.255.255.0 On-link 192.168.56.1 281
192.168.56.1 255.255.255.255 On-link 192.168.56.1 281
192.168.56.255 255.255.255.255 On-link 192.168.56.1 281
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.56.1 281
224.0.0.0 240.0.0.0 On-link 10.8.81.2 281
224.0.0.0 240.0.0.0 On-link 192.168.0.162 281
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.56.1 281
255.255.255.255 255.255.255.255 On-link 10.8.81.2 281
255.255.255.255 255.255.255.255 On-link 192.168.0.162 281
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
192.168.0.0 255.255.255.0 192.168.1.2 1
===========================================================================

C:\Windows>tracert 192.168.1.2

Трассировка маршрута к 192.168.1.2 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс 192.168.0.254
2 1 ms 2 ms 3 ms 10.97.152.1
3 10.97.152.1 сообщает: Заданный узел недоступен.

Еще по поводу сети WORK - там я не хозяин, и понятия не имею о других сетях, как устроена сеть, какие там роутеры, ограничения, настройки, адреса сетей т.п. Может там есть где то такая же сеть, как и в HOME - 192.168.1.X, я не знаю. Имею доступ только к своему компу, и еще парочке по RDP. В сети HOME я, понятное дело, хозяин и создатель.

[res2001]

alexfmos,

===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
192.168.0.0 255.255.255.0 192.168.1.2 1
===========================================================================

Вы перепутали команды маршрутизации.
В сети 192.168.1.0/24 вы должны добавить маршрут к сети 192.168.0.0/24. В постоянных маршрутах у вас должен появится маршрут до сети 192.168.0.0.
В сети 192.168.0.0/24 вы должны добавить маршрут к сети 192.168.1.0/24. В постоянных маршрутах у вас должен появится маршрут до сети 192.168.1.0.
Так же из таблицы маршрутизации ВПН сервера видно, что маршрут к клиентской сети не добавился.
На ВПН клиенте и сервере маршруты надо прописывать в конфиге ВПН сервера, а не в ручную.
Либо вы ошиблись в конфиге, либо не перезагрузили (рестартовали openvpn) сервер и клиент.

Да и еще, забыл упомянуть, что на внутренних хостах обеих подсетей нужно добавить маршрут к внутренней сети ВПН 10.8.81.0/24. В сети за ВПН сервером команда:

route -p add 10.8.81.0 mask 255.255.255.0 192.168.1.2

В сети за ВПН клиентом:

route -p add 10.8.81.0 mask 255.255.255.0 192.168.0.2

Неправильно добавленные маршруты удалите (route delete ... ).

[alexfmos]

res2001, Вообщем что-то не задалось. Еще раз все перепроверил, добавил. Перестал стучаться по 10.8.81.2 , потом когда ни туда, ни оттуда не пинговало внешние сети, решил очистить на удалённой машине route -f . Я к сожалению не знал, что это убъёт вообще сеть :-) Все остальные способы пробиться к машине потерялись. Пришлось звонить, напрягать, ресетить. :-) В общем? я подумал и решил. Что проще на HOMEPC2-3 так же установить Openvpn client и просто сделать сеть OPENVPN немного больше, чем из двух компов. Этого вполне хватит чтобы с опцией client-to-clent подключаться между компами по RDP. А в удаленной сети я просто и раньше подключался внутри одного RDP к другому RDP.
Вам всё равно большое спасибо за попытки просвещения :-)
Кстати всё это затеялось вот почему - раньше openVPN SERVER был в роутере ASUS внутри прошивки. Соответственно роутил он всё сам, и любая машина из HOME могла пробиться к WORK1. Но недавно я решил попробовать поставить Server на реальную машину HOME1, потому что мне очень не нравились скорости внутри vpn (1-2 МБ/с против 10-11 МБ/с без openvpn). Server на машине HOME1 выдал почти полный канал (10-11 МБ/с) и я, понятное дело решил это оставить. Но вот роутинг перешел уже в мои руки, а не роутера.

[res2001]

alexfmos, Что-то вы быстро сдались :-) у вас типичная конфигурация для связи двух сетей по ВПН.
Ни разу не пользовался route -f, но судя по всему достаточно было бы перезагрузиться и все стандартные маршруты восстановились бы, но те что прописаны руками, конечно нет.
Для удаления конкретного маршрута есть команда route delete, в параметрах повторяете то что было в route add.
Вариант со вторым клиентом то же годный.

[alexfmos]

res2001,

Ни разу не пользовался route -f, но судя по всему достаточно было бы перезагрузиться и все стандартные маршруты восстановились бы,

Так вот reset то надо было на удаленной машине сделать, а как, если сеть отвалилась :-)

route delete, в параметрах повторяете то что было в route add.

Это я делал, но почему то пинг не восстановился. Хотя route print вернулся в прежнее состояние, поэтому в сердцах сделал route -f . Потом пришлось звонить ресетить.

Answer 2

[YyTt]

Настраивал по одной из инструкций, соединение есть, но не меняется ip. Читал что тунель нужно делать, но как ума не приложу. Настроено на Windows server 2019
Конфигурация сервера

spoiler

port 1194
proto udp
dev tun
topology subnet
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\issued\\server.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\private\\server.key"
dh "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\dh.pem"
server 169.254.1.0 255.255.255.0
tls-auth "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\ta.key" 0
cipher AES-256-GCM
keepalive 20 60
persist-key
persist-tun
client-to-client
status "C:\\Program Files\\OpenVPN\\log\\status.log"
log "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
verb 3
mute 20
windows-driver wintun
user nobody
group nogroup
ifconfig-pool-persist ipp.txt

Конфиг клиента

spoiler

client
dev tun
proto udp
remote 92.X.X.X 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert TON.crt
key TON.key
remote-cert-tls server
tls-auth ta.key 1
cipher AES-256-GCM
connect-retry-max 25
verb 3

Как сделать что б менялась ip моего провайдера на ip сервера, неделю бьюсь. Информация как бы есть, но всё как то мутно написано. Буду очень признателен за помощь.

Comments

[Den Grim]

Посмотрите здесь:
https://www.reg.ru/blog/sozdayem-sobstvennyy-vpn-s...
Возможно поможет. Настраивал по этой инструкции. Работает все.
Еще добавлял директивы в конфиг сервера:

# Сети, к которым хотите иметь доступ 
push "route 172.16.0.0 255.255.255.0"
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.2.0 255.255.255.0"
# Сервера DNS, WINS и домен
push "dhcp-option DNS ХХХ.ХХХ.ХХХ.ХХХ"
push "dhcp-option WINS ХХХ.ХХХ.ХХХ.ХХХ"
push "dhcp-option DOMAIN my.domain"

Видит все машины во всех сетях + доменные имена машин.