VPN сервер: доступ к сети клиента

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
teejay
рядовой
Сообщения: 11
Зарегистрирован: 2013-09-18 20:56:55

VPN сервер: доступ к сети клиента

Непрочитанное сообщение teejay » 2020-11-07 16:54:12

Имеется
1. Сервер на FreeBSD с установленным OpenVPN сервером. Интерфейс tun0 c 10.8.0.1
2. OpenVPN клиент: роутер Mikrotik с адресом в туннеле 10.8.0.2 и домашней сетью из нескольких компов с 192.168.1.0/24

На данный момент ситуация следующая: сервер (10.8.0.1) может пинговать 10.8.0.2 при этом адреса 192.168.1.* не пингуются. Клиенты из домашней сети (192.168.1.0/24) успешно пингуют 10.8.0.1. Т.е. доступа с сервера к домашней сети нет. Что необходимо проверить/исправить для решения этой проблемы?

Также на сервере добавлен маршрут route add -net 192.168.1.0/24 10.8.0.2.
Если на сервере запустить пинг 192.168.1.106 то tcpdump -i tun0 показывает запроc, но не ответ:

Код: Выделить всё

14:52:17.776373 IP 10.8.0.1 > 192.168.1.106: ICMP echo request

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

VPN сервер: доступ к сети клиента

Непрочитанное сообщение snorlov » 2020-11-07 17:49:24

у микротика все засунуто в нат, а не в openvpn

teejay
рядовой
Сообщения: 11
Зарегистрирован: 2013-09-18 20:56:55

VPN сервер: доступ к сети клиента

Непрочитанное сообщение teejay » 2020-11-09 22:25:34

Возможно проблема и связана с роутером, но пока у меня нет на это однозначного ответа. Например, если на сервере я запускаю ping 10.8.0.2 то на роутере я вижу входящий трафик. Однако если на сервере также запустить ping 192.168.1.1 то на роутере тишина.

Из чего я делаю вывод, что проблема может быть в настройке маршрута на сервере (но тут я не уверен в силу того, что с сетями не работаю). По всей видимости одного только маршрута на сервере route add -net 192.168.1.0/24 10.8.0.2 недостаточно. Возможно нужна дополнительная настройка pf. Или ещё чего-либо.

Поэтому и вопрос, как диагностировать данную ситуацию? Куда вообще смотреть?

Также ещё из наблюдений: если на сервере запустить tcpdump на туннельном интерфейсе (сам VPN туннель) tun0 то ping 10.8.0.2 отправляет и получает пакеты:

Код: Выделить всё

20:18:14.939949 IP 10.8.0.1 > 10.8.0.2: ICMP echo request, id 1889, seq 0, length 64
20:18:15.029825 IP 10.8.0.2 > 10.8.0.1: ICMP echo reply, id 1889, seq 0, length 64
а для пинга ping 192.168.1.1 только запросы, без ответов:

Код: Выделить всё

20:18:22.418470 IP 10.8.0.1 > 192.168.1.1: ICMP echo request, id 2913, seq 0, length 64