OpenVPN + доступ клиентов во внутреннюю сеть

Есть и такой ОС.

Модератор: weec

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Nolf
мл. сержант
Сообщения: 91
Зарегистрирован: 2013-03-20 22:03:07
Откуда: Ukraine, Kyiv

OpenVPN + доступ клиентов во внутреннюю сеть

Непрочитанное сообщение Nolf » 2019-02-28 22:52:11

Добрый день.
Нужен совет... Есть сервер,на нем поднят openvpn:
Локальная сеть на сервере: 172.16.252.0/24 (OpenVPN сервер-172.16.252.2)
Сеть для VPN клиентов: 10.8.0.0/22

server conf

Код: Выделить всё

port 1194
proto udp
dev tun
server 10.8.0.0 255.255.252.0
ifconfig-pool-persist ipp.txt
;push "redirect-gateway def1 bypass-dhcp"
push "route 172.16.252.0 255.255.255.0"
keepalive 10 120
client-to-client
remote-cert-tls client
cipher AES-256-CBC
persist-key
persist-tun
status openvpn-status.log
verb 4
explicit-exit-notify 1
key-direction 0
Подключился с клиента, получил IP 10.8.0.10
ping 172.16.252.2 все ок
Пробую пинговать другие сервера в этой сети, ничего...

iptables --list

Код: Выделить всё

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  10.8.0.0/22        172.16.252.0/24    
Буду благодарен за любой совет...
-= No One Lives Forever =-

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

lazhu
сержант
Сообщения: 254
Зарегистрирован: 2013-08-10 14:28:38
Контактная информация:

OpenVPN + доступ клиентов во внутреннюю сеть

Непрочитанное сообщение lazhu » 2019-03-01 9:19:47

ВПН поднят на дефолтном шлюзе?
Если нет, обратный маршрут прописан?

Аватара пользователя
Nolf
мл. сержант
Сообщения: 91
Зарегистрирован: 2013-03-20 22:03:07
Откуда: Ukraine, Kyiv

OpenVPN + доступ клиентов во внутреннюю сеть

Непрочитанное сообщение Nolf » 2019-03-01 10:16:07

lazhu писал(а):
2019-03-01 9:19:47
ВПН поднят на дефолтном шлюзе?
Если нет, обратный маршрут прописан?
ip route

Код: Выделить всё

default via *.*.*.* dev enp2s0 proto static 
10.8.0.0/22 via 10.100.0.2 dev tun0 
10.8.0.2 dev tun0 proto kernel scope link src 10.8.0.1 
*.*.*.*/27 dev enp2s0 proto kernel scope link src *.*.*.*
172.16.252.0/24 dev enp2s0.30 proto kernel scope link src 172.16.252.2 
Это на сервере. Вот как то так...
-= No One Lives Forever =-

lazhu
сержант
Сообщения: 254
Зарегистрирован: 2013-08-10 14:28:38
Контактная информация:

OpenVPN + доступ клиентов во внутреннюю сеть

Непрочитанное сообщение lazhu » 2019-03-01 10:48:17

жесть какая эти ваши линухи ;)
ничего не понял из этого кода
ВПН сервер является дефолтным шлюзом для локалки?
Если не является, то либо на дефолтном шлюзе прописать маршрут к 10.8.0.0 через 172.16.252.2, либо на каждом компе в локалке, к которому нужен доступ, прописывать вручную

lazhu
сержант
Сообщения: 254
Зарегистрирован: 2013-08-10 14:28:38
Контактная информация:

OpenVPN + доступ клиентов во внутреннюю сеть

Непрочитанное сообщение lazhu » 2019-03-01 11:12:58

Nolf писал(а):
2019-02-28 22:52:11

Код: Выделить всё

ACCEPT all -- 10.8.0.0/22 172.16.252.0/24
это, я так понимаю, нат?
либо any to any, либо пишите так же и обратный
Nolf писал(а):
2019-03-01 10:16:07

Код: Выделить всё

via 10.100.0.2
очепятка? по идее должен быть 10.8.0.2

Аватара пользователя
Nolf
мл. сержант
Сообщения: 91
Зарегистрирован: 2013-03-20 22:03:07
Откуда: Ukraine, Kyiv

OpenVPN + доступ клиентов во внутреннюю сеть

Непрочитанное сообщение Nolf » 2019-03-01 12:03:04

lazhu писал(а):
2019-03-01 11:12:58
очепятка? по идее должен быть 10.8.0.2
Да опечатка...
Проблему решил маршрутом на GW
ip route add 10.8.0.0/22 via 172.16.252.2
спасибо)
-= No One Lives Forever =-