younghacker

Похоже что клиент из офиса2 получает DNS push из офиса 1.

DNS-серверы. . . . . . . . . . . : 192.168.0.28
                                   8.8.4.4
                                   192.168.3.1

Таймаут может быть потому что:
1) DNS не слушает нужный интерфейс не хочет отвечать в чужую подсеть
2) Нет маршрута
3) Firewall дропает пакеты приходящие из TUN интерфейса
4) OpenVPN ничего не знает о том что чужая подсеть находится за TUN интерфейсом.

Извините, но на из ваших описаний и копипастов нельзя понять где выполнялся пинг и трейсроут. Одно дело если с гейта. Другое если с машины в чужой подсети. Две большие разницы с точки зрения маршрутизации.

P.S.
Я очень поверхностно знаком с микротиковским OpenVPN. Из-за того что его там "кастрировали" — не вижу смысла. Только прошить OpenWRT на неплохое микротиковское железо и получить полный функционал OpenVPN. :)
P.P.S.
Средства шифрования по определению не могут быть закрыты от анализа. Поэтому только OpenSource!

Отключите IPv6. Для вашей анонимности он опасен.

Вот эта опция железобетонная!
iptables -A OUTPUT -o eth0 -j DROP
Вы уверены что у вас VPN работает? А если работает то через какой интерфейс? eth1, wlan? Куда смотрит default gate в ip route ?

Перед дропом нужно было поставить акцепт для пакетов в адрес сервера. Ну и дропать нужно на всех интерфейсах кроме TUN... Зачем же вам TAP интерфейс ???

Можно!
Хотите я вам скину сертификаты и конфиги? :)
дальше будет пару команд:
1) поставить openvpn
2) скопировать конфиги и сертификаты клиента и сервера
3) запустить сервис на сервере и на клиенте.
И всё.

Но сертификаты генерируются на раз-два. Главное разобраться что и как.

Кроме того чтобы настроить это два или три раза, нужно пробросить Default Gate таким макаром чтобы пакет прошёл как нужно. И я так подозреваю что топикстартеру нужно добиться и того чтобы пакет случайно не вывалился в паблик, когда инженер связи рвёт VPN коннект. :)

T_y_l_e_r как с вами связаться? Что-то тостеровцы два года назад обещали личные сообщения, а воз и ныне там.

На роутере или на машине где установлен VPN сделайте то что сказали ранее. Пропишите статические маршруты через интерфейс к вашему провайдеру. Имейте ввиду что DNS запросы могут уходить либо в VPN либо через провайдера, в зависимости от настроек на вашем VPN роутере. И если используется CDN то ответ может быть разным. Сделайте скрипт который будет проверять целевой IP в DNS и изменять или оповещать вас что изменился адрес который вам нужен. Также внутренние ресурсы провайдера могут не ресолвиться в DNS снаружи, например гуглом.

Если же речь идёт о сети провайдера просто подсмотрите их AS получите их сети и затем пропишите их сети "статикой".

Также придётся разобраться как прописывать маршруты в конкретной вашей системе.

1. Отключать сертификаты плохая идея.
   
2. Подключение без прокси напрямую работает?
   
3. Время и дата между клиентом и сервером синхронизированы?
   
4. Кто контролирует прокси? Никаких sslstrip не делает?
   
5. Было бы хорошо нарисовать схему подключения.
   
6. log verbosity включите на максимум
   

Сказанное ниже к делу скорее всего не относится. Чисто как замечание.
Не знаю как ситуация выглядит сейчас но раньше у микротика с OpenVPN были ограничения. Не поддерживался UDP и по-моему нельзя использовать ta ключи. С тех пор я использую только перешитые Mikrotik.

Ваш сервер должен сообщить VPN клиенту что сеть 10.7.0.0/24 должна маршрутизироваться через VPN интерфейс сервера.
Или просто руками на VPN клиенте добавьте маршрут. route add 10.7.0.0/24 gw "адрес сервера через VPN туннель".
Маршрут по умолчанию на клиенте должен остаться через физический интерфейс. Иначе не будет выхода в интернет через его провайдера.
Если вам нужна вся подсеть 10.7.0.0/24 то проброс портов не решает этого. Нужен только доступ к VPN серверу и правильная марштуризация на VPN сервере. Он должен знать маршрут как в 10.7.0.0/24 так и к VPN клиенту. Ну и конечно Win2008 сервер должен знать маршруты в сторону VPN клиента. И конечно на нём должна стоять птичка маршрутизация разрешена. ipconfig /all посмотрите там.

Чтобы понять почему в сети что-то не проходит берите бумажку (образно TCP пакет) рисуйте на нём адреса источников и получателей, и играйте в прохождение пакета через узлы. На узлах нарисуйте таблицы маршрутизации. Сразу всё встанет на свои места.

Более конкретного ответа не получите. Нужна информация о технологиях и настройках всех участников.

Дампер пакетов (tcpdump, wireshark, wincap) Вам в помощь!

Вам нужно определиться с угрозами от которых защищаться.
В любом случае свой трафик Вы подставите VDS хостеру.
Будете хостером подставите магистральному провайдеру.

Ставьте OpenVPN. Для него есть клиент и под Android.
При настройке не забудьте про DNS leak. Желательно "зарезать" на вашем Firewall на компьютере или телефоне любой исходящий трафик куда либо кроме IP адреса VPN сервера. А то бывает VPN специально "уронили", а Вы и не в курсе, что роутинг выпустил весь трафик через обычное соединение. Интернет то работет.

А для того чтобы радоваться жизни, у Вас уже всё есть. :)

Речь идёт о сети интернет?
Тогда что это????

server 93.189.42.0 255.255.255.0

Разве адрес который сервер использует для построения своей локальной сети не должен быть из local диапазонов? 10.x.x.x, 172.16.x.x 192.168.x.x
выберите любой каких нет у вашего компьютера-клиента в "локалках".
Например
server 10.22.44.0 255.255.255.0
Когда произоёдет подключение у клиента должен появиться один роут
0.0.0.0/0 --> tunX с лёгким весом (легче чем у оригинального через ваш локальный сетевой интерфейс)
и второй роут на сервер 93.189.42.##

А в iptables добавьте вот это правило:

iptables -t nat -A POSTROUTING -o tun+ -j MASQUERADE

Это правило гласит: любой пакет в через любой tun интерфейс "замаскарадить"

И ещё. Проверьте что DNS на клиенте изменился на 8.8.8.8. (хотя я бы рекомендовал поднять DNS на сервере и не сливать гуглу свои похождения по интернетам)
К тому же я обычно даже блокирую любой DNS трафик через интерфейс отличный от tun чтобы избежать DNS leak когда VPN отваливается.

После этого можете войти браузером на сервис по определению IP.