Добрый день !
Коллеги просьба помочь разобраться с вопросом по OPENVPN. Задача на первый взгляд не сложная, требуется создать доступ удаленным пользователям (OPENVPN client) доступ в локальную сеть к своим компам или сетевым ресурсам. Подключение происходит но вот хождения пакетов в локальную сеть не наблюдается в интернет я выхожу с айпи данного сервера. Сервер с двумя сетевками eth0 смотрит в мир eth1 смотрит в локалку
При запуске OPENVP server создается интерфейс tun0 ip 172.16.20.1 конфиги сервера и фаервола привожу ниже
server.conf
local 192.168.10.1
#change with your port port 5555
#You can use udp or tcp proto udp
# «dev tun» will create a routed IP tunnel. dev tun
#Certificate Configuration
#ca certificate ca /etc/openvpn/ca.crt
#Server Certificate cert /etc/openvpn/server.crt
#Server Key and keep this is secret key /etc/openvpn/server.key
#See the size a dh key in /etc/openvpn/ dh /etc/openvpn/dh2048.pem
#user nobody #group nogroup
# указываем внутренний DNS и WINS серверы push «dhcp-option DNS 192.168.5.3» push «dhcp-option DNS 8.8.8.8»
push «route 192.168.5.0 255.255.255.0» # client-config-dir ccd
#Internal IP will get when already connect server 172.16.20.0 255.255.255.0
#this line will redirect all traffic through our OpenVPN #push «redirect-gateway def1» #push «redirect-gateway local» #Provide DNS servers to the client, you can use goolge DNS
push «route 192.168.5.0 255.255.255.0»
client-to-client
#Enable multiple client to connect with same key duplicate-cn cipher DES-EDE3-CBC keepalive 20 60 comp-lzo persist-key persist-tun daemon
#enable log log-append /var/log/openvpn.log
#Log Level verb 5
#!/bin/sh
IPT=«/usr/sbin/iptables»
# Интерфейс который смотрит в интернет WAN=«eth0» WAN_IP=«192.168.10.1»
# Интерфейс который смотрит в локальную сеть LAN=«eth1» LAN_IP=«192.168.5.3»
# Очистка всех цепочек iptables $IPT -F $IPT -F -t nat $IPT -F -t mangle $IPT -X $IPT -t nat -X $IPT -t mangle -X
# Установим политики по умолчанию для трафика, не соответствующего ни одному из правил $IPT -P INPUT DROP $IPT -P OUTPUT DROP $IPT -P FORWARD DROP
# разрешаем локальный траффик для и loopback $IPT -A INPUT -i lo -j ACCEPT $IPT -A OUTPUT -o lo -j ACCEPT $IPT -A INPUT -i $LAN -s 192.168.5.0/24 -j ACCEPT $IPT -A OUTPUT -o $LAN -s 192.168.5.0/24 -j ACCEPT $IPT -A INPUT -s 192.168.5.0/24 -p icmp --icmp-type echo-request -j ACCEPT $IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A OUTPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT # Разрешаем исходящие соединения самого сервера $IPT -A OUTPUT -o $WAN -j ACCEPT
$IPT -A INPUT -i $WAN -p tcp --dport 22 -j ACCEPT $IPT -A INPUT -i $LAN -p tcp --dport 22 -j ACCEPT
$IPT -A INPUT -i $WAN -p udp --dport 53 -j ACCEPT $IPT -A INPUT -i $LAN_IP -p udp --dport 53 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --sport 123 -j ACCEPT $IPT -A OUTPUT -p tcp -m tcp --dport 123 -j ACCEPT $IPT -A INPUT -p udp -m udp --dport 5555 -j ACCEPT $IPT -A OUTPUT -p udp --sport 5555 -j ACCEPT
$IPT -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu $IPT -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT $IPT -A FORWARD -m conntrack --ctstate NEW -i $LAN -s 192.168.5.0/24 -j ACCEPT $IPT -P FORWARD DROP
$IPT -t nat -A POSTROUTING -o $WAN -j MASQUERADE
#$IPT-A FORWARD -s 172.16.20.0/24 -d 192.168.5.0/24 -j ACCEPT $IPT -A FORWARD -i $WAN -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A FORWARD -s 172.16.20.0/24 -j ACCEPT $IPT -A FORWARD -d 172.16.20.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -t nat -A POSTROUTING -s 172.16.20.0/24 -j SNAT --to-source 192.168.10.1 /sbin/iptables-save > /etc/sysconfig/iptables
