История изменений

Исправление dhameoelin, 12.09.14 09:49 (текущая версия) :

Сойдёт. Главное, что примерно понятно.

OpenVPN вывешен наружу через модем и можно игнорировать сеть 192.168.100.х?

dev tap - причины есть? не лучше ли dev tun и нормально настроить фаервол?

Тогда для сервера OpenVPN конфиг относительно адресов я вижу таким:

server 10.10.10.0 255.255.255.0
route 10.0.0.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 192.168.1.99"
push "dhcp-option DOMAIN local.com"

Конфиги CCD:

ifconfig-push 10.10.10.<ip_клиента,_если_почему-то_не_устраивает_встроенный_в_OpenVPN_DHCP> 255.255.255.0 # Тебе подсети /24 точно хватит? Сколько клиентов?
iroute <внутренняя_сеть_клиента> <маска_внутренней_сети_клиента> # Узнаётся у каждого клиента

Конфиги Iptables для начала (только для FORWARD):

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.10.10.0/24 -d 192.168.1.0/24 -m state --state NEW -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -d 10.10.10.0/24 -m state --state NEW -j ACCEPT

Пока без интерфейсов. С ними потом разберёшься.

Исправление dhameoelin, 12.09.14 09:47:

Сойдёт. Главное, что примерно понятно.

OpenVPN вывешен наружу через модем и можно игнорировать сеть 192.168.100.х?

dev tap - причины есть? не лучше ли dev tun и нормально настроить фаервол?

Тогда для сервера OpenVPN конфиг относительно адресов я вижу таким:

server 10.10.10.0 255.255.255.0
route 10.0.0.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 192.168.1.99"
push "dhcp-option DOMAIN local.com"

Конфиги CCD:

ifconfig-push 10.10.10.<ip_клиента,_если_почему-то_не_устраивает_встроенный_в_OpenVPN_DHCP> 255.255.255.0 # Тебе подсети /24 точно хватит? Сколько клиентов?
iroute <сеть_клиента> <маска_сети_клиента> # Узнаётся у каждого клиента

Конфиги Iptables для начала (только для FORWARD):

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.10.10.0/24 -d 192.168.1.0/24 -m state --state NEW -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -d 10.10.10.0/24 -m state --state NEW -j ACCEPT

Пока без интерфейсов. С ними потом разберёшься.

Исправление dhameoelin, 12.09.14 09:46:

Сойдёт. Главное, что примерно понятно.

OpenVPN вывешен наружу через модем и можно игнорировать сеть 192.168.100.х?

dev tap - причины есть? не лучше ли dev tun и нормально настроить фаервол?

Тогда для сервера OpenVPN конфиг относительно адресов я вижу таким:

server 10.10.10.0 255.255.255.0
route 10.0.0.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 192.168.1.99"
push "dhcp-option DOMAIN local.com"

Конфиги CCD:

ifconfig-push 10.10.10.<ip_клиента,_если_почему-то_не_устраивает_встроенный_в_OpenVPN_DHCP> 255.255.255.0 # Тебе подсети /24 точно хватит? Сколько клиентов?
iroute <сеть_клиента> <маска_сети_клиента> # Узнаётся у каждого клиента[.code]

Конфиги Iptables для начала (только для FORWARD):

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.10.10.0/24 -d 192.168.1.0/24 -m state --state NEW -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -d 10.10.10.0/24 -m state --state NEW -j ACCEPT


Пока без интерфейсов. С ними потом разберёшься.

Исправление dhameoelin, 12.09.14 09:46:

Сойдёт. Главное, что примерно понятно.

OpenVPN вывешен наружу через модем и можно игнорировать сеть 192.168.100.х?

dev tap - причины есть? не лучше ли dev tun и нормально настроить фаервол?

Тогда для сервера OpenVPN конфиг относительно адресов я вижу таким:

server 10.10.10.0 255.255.255.0
route 10.0.0.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 192.168.1.99"
push "dhcp-option DOMAIN local.com"

Конфиги CCD:

ifconfig-push 10.10.10.<ip_клиента,_если_почему-то_не_устраивает_встроенный_в_OpenVPN_DHCP> 255.255.255.0 # Тебе подсети /24 точно хватит? Сколько клиентов?
iroute <сеть_клиента> <маска_сети_клиента> # Узнаётся у каждого клиента


Конфиги Iptables для начала (только для FORWARD):

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.10.10.0/24 -d 192.168.1.0/24 -m state --state NEW -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -d 10.10.10.0/24 -m state --state NEW -j ACCEPT


Пока без интерфейсов. С ними потом разберёшься.

Исходная версия dhameoelin, 12.09.14 09:45:

Сойдёт. Главное, что примерно понятно.

OpenVPN вывешен наружу через модем и можно игнорировать сеть 192.168.100.х?

dev tap - причины есть? не лучше ли dev tun и нормально настроить фаервол?

Тогда для сервера OpenVPN конфиг относительно адресов я вижу таким:

server 10.10.10.0 255.255.255.0
route 10.0.0.0 <your_network_mask>
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 192.168.1.99"
push "dhcp-option DOMAIN local.com"

Конфиги CCD:

ifconfig-push 10.10.10.<ip_клиента,_если_почему-то_не_устраивает_встроенный_в_OpenVPN_DHCP> 255.255.255.0 # Тебе подсети /24 точно хватит? Сколько клиентов?
iroute <сеть_клиента> <маска_сети_клиента> # Узнаётся у каждого клиента


Конфиги Iptables для начала (только для FORWARD):

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.10.10.0/24 -d 192.168.1.0/24 -m state --state NEW -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -d 10.10.10.0/24 -m state --state NEW -j ACCEPT


Пока без интерфейсов. С ними потом разберёшься.