OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

продолжение
3.Можно подсетку 192.168.100.0/24 поделить на 2 подсети. В одной оставить ваш сервер и роутер, а второю назначить на ВПН. Тогда можно не трогать роутер, все манипуляции будут только на вашем сервере
4.Поднять NAT на интерфейсе 192.168.100.222 и пакеты из ВПН отправлять через NAT.

В общем 2 и 4 вариант мне лично не нравятся.

OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

BLOOD_ELF,

При подключении на локальном ПК, роутинги идут на 10.8.0.5.

В openvpn есть несколько режимов работы (топологий виртуальной сети), режим по умолчанию (ваш случай) net30 - это когда для каждого клиента выделяется своя 30 подсеть из выделенного диапазона, первый адрес в подсети назначается серверу, второй- клиенту. При этом, видимо, адрес 10.8.0.1 постоянно зарезервирован за сервером. Режим устаревший, но сохраняется для обратной совместимости.
В конфиге сервера укажите topology subnet
Это изменит режим маршрутизации openvpn, в этом случае ВПН серверу так же будет назначаться 1 адрес 10.8.0.1, но все клиенты будут находится в одном адресном пространстве без деления на подсети.

Провайдер выделяет свой VPN канал для доступа к этому сервису (он физически подключается по адресу подключения).

Ну как-бы такого не может быть, они должны знать ваш IP диапазон, что бы правильно настроить маршрутизацию у себя.
Роутер на котором ВПН провайдера - провайдерский? Они им управляют или вы?
Адрес 192.168.100.222 на сервере выделяется динамически? Подозреваю, что вам выделена сетка 192.168.100.0\24, возможно не 24, а меньше.
Можете на роутере посмотреть настройки DHCP сервера - диапазон раздаваемых адресов.
Так же посмотрите, поднят ли NAT. Возможно, что на роутере уже поднят NAT, поэтому для провайдера ограничений на ваши адреса нет - они уже забили 1 адрес на роутере и на нем висит NAT.
Поэтому тут вижу несколько вариантов развития событий:
1. настроить маршрутизацию на роутере для подсети 10.8.0.0\24 через 192.168.100.222. В этом случае адрес 192.168.100.222 на сервере должен быть статический, чтоб не менялся со временем.
2.openvpn настроить в режиме бриджа, тогда ВПН клиенты то же будут как-бы в локальной сети и смогут получать адрес от DHCP роутера и свободно смогут ходить за сервисом.
Я никогда не использовал openvpn в режиме бриджа, но теоретически настройка еще проще, чем в режиме роутинга. Но все равно предпочитаю роутинг бриджу. Правда в вашем случае, если управление роутером вам не доступно, то возможно особо выбирать будет не из чего.

OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

BLOOD_ELF, В целом конфиги рабочие и раз 10.8.0.1 пингуется, значит ВПН работает.
Удалите постоянный маршрут на клиенте до 192.168.10.82.
Добавьте в серверный конфиг опцию: push "route 192.168.10.82 255.255.255.255"
Проследите, что бы после подключения ВПН на клиенте появился маршрут к 192.168.10.82 через 10.8.0.1.
Когда маршрут появится, то со стороны ВПН настройки окончены.

Какие есть ограничения на доступ к сервису со стороны провайдера? В свое время я имел дело с похожим сервисом. Там нам выделили диапазон адресов (нам выделили \30 подсеть), с которых мы имели право туда ходить, эти адреса были жестко зафиксированы в конфигах оператора сервиса. Наверняка у вас то же есть подобные ограничения.

Можно ли подключить к одному iSCSI несколько серверов потребителей?

grabbee, Да, только read-only надо делать на уровне ФС.
Тут еще будет вопрос в том, что стандартные ФС ничего не знают, что у них есть соседи по ФС и обычно кэшируют FAT, поэтому, когда RW сосед обновит данные на ФС (добавит/удалит файлы), его RO сосед может не сразу их увидеть.
У меня такого опыта не было, так что рассуждения чисто теоретические.

OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

BLOOD_ELF, ВПН вообще работает? Можете пропинговать с клиента сервер по внутреннему ВПН адресу?
Фаерволы не блокируют ВПН трафик?

OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

BLOOD_ELF, Давайте сюда конфиги клиента и сервера.
В логах ошибки есть?
И посмотрите мой первый пост - там указано, как правильно указать маршрут в конфиге ВПН.

OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

BLOOD_ELF, Адрес сервера вы можете посмотреть на сервере (ipconfig), но обычно openvpn сервер получает первый адрес из диапазона. 10.8.0.2 - это адрес клиента.

OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

BLOOD_ELF,

т.е. так должно выглядеть?

Да, интерфейс задавать не нужно.

OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

BLOOD_ELF,

route -p add 192.168.10.82 mask 255.255.255.255 192.168.100.1 IF 27

Это не правильная команда - вы не правильно указали IP адрес шлюза. Он должен быть внутренним ВПН адресом ВПН сервера (т.е. шлюзом будет ВПН сервер).

OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

BLOOD_ELF,

Это невозможно.

Если это не возможно, то как вы получаете к нему доступ без ВПН? :-)
Вам просто в опции надо указать IP адрес этого сервиса (192.168.10.82) и маску, по которому клиент будет к нему обращаться, а маршрутизатором для клиента будет выступать ВПН сервер. Команду прописать в конфиге ВПН сервера, в формате, который я привел.
NAT вам придется то же поднимать, если его еще нет в каком-то виде.

OpenVPN: Как дать доступ к ресурсу сервера на клиентском ПК?

Вы правы, надо добавить маршрут к сети за сервером. Это делается с помощью опции в конфиге сервера:
push "route <subnet ip> <subnet mask>"
Кроме того, возможно понадобиться добавить маршрут до ВПН сети (10.8.0.0) на "сервис электронных рецептов", но это не обязательно, зависит от того является ли шлюз, через который вы получаете доступ к этому сервису шлюзом по умолчанию для него. Если с той стороны вы ничего изменить не можете, то нужно поднимать еще и NAT и пускать трафик к сервису от ВПН клиента через NAT.

Установка stunnel какой порт использовать?

dminster94,

Options error: You must define TUN/TAP device (--dev)

Видимо в конфиге нет опции dev tun

Как настроить маршрутизацию?

fastboot,

вот так?

Если работает - так. В комментарии к полю написано - разделитель опций точка с запятой, про "новую строку" ничего не сказано.

Как настроить маршрутизацию?

fastboot, Кстати, внутри pfSense FreeBSD. Я думаю, что можно в настройках pfSense включить ssh доступ к маршрутизатору. Конфиги openvpn, скорее всего, должны лежать по стандартному пути: /etc/openvpn или /usr/local/etc

Как настроить маршрутизацию?

fastboot, опции разделяются точкой с запятой ("semicolon").

Как настроить маршрутизацию?

Приведите текстовые конфиги openvpn сервера и клиента, если это возможно.
Не знаю используются ли в pfSense в настройке openvpn клиентские конфиги (в основном конфиге openvpn присутствует опция client-config-dir, клиентские конфиги лежат в каталоге, указанном в этой опции), если используется, то надо для клиента openwrt добавить опцию:
iroute 172.30.255.0 255.255.255.0
Это добавит маршрут в pfSense до сети за клиентом при его подключении (и удалит при отключении).

Проблемы с работой туннеля, пока не пингуешь какой нибудь яндекс. Поможете?

Посмотрите traceroute до сервера, до яндекса без пингов. И то же самое с пингами. Сравните.
Предполагаю, что с появлением пакетов до яндекса провайдер направляет ваш трафик другим маршрутом.

Установка stunnel какой порт использовать?

dminster94, Для проверки конфига вы можете стартовать службы вручную. Например, чтоб стартовать openvpn дайте такую команду:
openvpn --config <путь к конфигу>
В этом случае, если в конфиге будет ошибка, вы увидите сообщение на экране при старте.

Установка stunnel какой порт использовать?

dminster94, Если нет openvpn.log, то записи должны быть в том же syslog.
И я что-то не нашел опции log-attend, есть log и есть log-append: https://openvpn.net/community-resources/reference-...

Проблемы с работой туннеля, пока не пингуешь какой нибудь яндекс. Поможете?

Евгений Воробьев,

оба варианта по ссылкам пробовал.

Какие конкретно значения mtu и mssfix вы выставляли?
Вы тестировали реальный MTU, как показано в первой ссылке?

Причем сертификат с профилем чужой использовал

Сертификат тут точно не при делах

почему при пинге яндекса того же становится все норм?

Это, конечно, странно. Лечебные пинги яндекса запускаете с клиента или сервера?