настройка openvpn

Да, один экземаляр openvpn-сервера создаёт одно tun-устройство, независимо от кол-ва подключенных клиентов. Трафик между клиентами разруливается внутри openvpn-сервера, без участия маршрутизации в ядре.

спасибо. подскажите еще. если необходимо шифровать трафик то какие параметры мне необходимо использовать ( и алгоритмы шифрования, желательно самые стойкие для взлома).

Настраиваете tls, включаете его и выбираете алгоритмы пострашнее:

tls-server # Включаем tls на сервере
tls-exit    # не работать без tls
tls-cipher DHE-RSA-AES256-SHA # Из вывода команды openvpn --show-tls
auth SHA512 # Из вывода команды openvpn --show-digests
cipher AES-256-CBC # Из вывода команды openvpn --show-ciphers

То есть на сервере и клиенте выполняете команды (--show-*), которые покажут возможные алгоритмы шифрования, выбираете самые стойкие, имеющиеся в списке, и на сервере, и на клиенте и устанавливаете их. А стойкость алгоритмов шифрования это отдельный холивар, гуглите :-)

В большинстве же случаемв, ИМХО, достаточно включить tls и какой алгоритм шифрации согласуется, пусть тот и будет, они все не такие лёгкие к взлому, да и мало кому интерестно ломать openvpn... Ну, а настройка tls (генерация сертификатов) описана не один раз в инете.

сталкнулся с такой проблемой. есть впн сервер. когда клиент подключается то сервер пингуется. клиентом является обычный шлюз. но возникает одна особенность. если есть опция redirect-gateway то весь сервер заворачивается берез впн сервер. если этой опции не ставить то клиентские машины выходит через старый шлюз но пакеты из под сети не идут на впн сервер. tcpdump показывает, что все пакеты идут через интерфейс eth1 (к которому подключен интернет), а на интерфейсе tun0 глухо. т.е. схема такая. надо обьеденить две подсети в разных офисах. оба офиса выходят в интернет через шлюз под линуксом. на этих шлюзах подняты vpn клиенты.

пакеты приходят на шлюз (впн клиент) с tun0 доходят до копьютера, а обратно почему то пытаются выйти через другой интерфейс (eth1). так показал tcpdump. как их заставить уходить через тот же интерфейс через который они пришли. iproute2 не помогает

Вы сами пробовали читать, то, что написали? Схема, это когда для каждой точки пути следования пакета (маршрутизатора) чётко описываются все его интерфейсы, маршруты, NAT (если есть). И лучше каждому компьютеру/маршрутизатору дать короткое имя и оперировать в описани только этими именами.

проблема в следующем. приходит пакет с впн сервера. проходит шлюз он жде клиент впн. шлюз проходит по цепочки tun0->eth3 и далее до адресата. с адресата идет пакет уже другим маршрутом eth3->eth2. eth3 локальная сеть eth2 интернет. уже пересмотрел, не могу понять почему обратно пакет идет не в тунель, а на внешний интерфейс шлюза

причем, когда на vpn сервере включил опцию redirect-gateway то пакет пошел на интерфейс тунеля. но следом и весь трафик пошел через впн сервер.

На «шлюз он жде клиент впн» прописан маршрут к подсети в офисе, где «впн сервер» через tun0?

да. прописан. а теперь. соберусь с мыслями, и постараюсь внятно описать что требуется сделать. есть два офиса. в каждом офисе стоит роутер на линуксе. есть впн сервер. роутеры являются клиентами впн сервера. необходимо. что бы к нескольким терминальным серверам люди имели доступ через впн сервер. на впн сервере прокинуты порты до терминальных серверов (точнее прокинуты до роутеров, а на роутерах порты еще раз прокидываются до терминальных серверов). проблема в следующем. когда люди пытаются подключиться до терминального сервера по рдп (ip vpn server) то трафик с сервера проходит до шлюзов, шлюзы успешно тоставляют терминальным серверам. а вот потом пакеты уходят в интернет, а не обратно на впн сервер ( движение трафика следующее tun0->eth3 и далее до адресата. с адресата идет пакет уже другим маршрутом eth3->eth2. eth3 локальная сеть eth2 интернет.) пробовал настроить iproute2 на шлюзах. но трафик всё равно уходит не на те интерфейсы. причем пробовал настроить впн сервер на использование устройств и tun и tap

Не знаю, наколько у вас там уже всё навёрнуто, может вы уже до команды ″ip rule″ добрались и делали маршрутизацию по src-адресу или метки в iptables, но пакеты всегда идут по маршрутам (по кешу маршрутов).

Другое дело, что если у вас там DNAT/SNAT, то в момент определения маршрута пакета у него могут быть другие адреса, чем у пакета на интерфейсе (видимом через tcpdump).

DNAT/SNAT присутствует. но ведь я когда добавляю правла ip rule я делаю ip route flush cachе. так что кеши тут вроде как очищены.

Когда я писал про ip rule, я хотел сказать, что если сделано много правил ip rule и много таблиц маршрутизации, то не так просто понять по какой таблице/маршруту пойдёт пакет. Но ничего больше нет, если пакет отправляется в tun0, то он там и будет или не будет (если openvpn его уничтожит), НО ни openvpn, ни iptables не могут переместить отправленный по маршруту в tun0 пакет в eth3.

Смотрите ip rule, может там есть какие неожиданные правила, если в таблице маршрутов всё просто.

.ip rule показывает 3 стандартных таблице и 2 моих. ничего интересного и нового я не увидел. что и где еще можно посмотреть.

ради интереса прокинул я с впн сервера порт ссх на шлюз. зашел нормально. и в нешнего адреса тоже зашел без проблем. из чего делаю вывод что маршрутизация от источника работает. вот только почему когда я подключаюсь к серверу терминалов трафик обратно идет не через нужный интерфейс

пришел к выводу, что iproute2 не работает с openvpn. т.к. на шлюзе с двумя провайдерами все работает без проблем. кто что может подсказать или посоветовать

бьюсь третий день, так и не могу понять почему пакеты приходят на один интерфейс, а уходят через другой. может есть у кого какие мысли? вроде iproute2 настроил