Очередной OpenVPN объединения двух локалок тред

Покажи таблицу маршрутизации на роутерах. Посмотри ещё tcpdump-ом, какие пакеты через tap-интерфейсы ходят (на всех трёх маршрутизаторах)

я пока еще не настраивал клиентские роутеры. Я просто интересуюсь, правильно ли я понял свою задачу. На данный момент настроено так, что на каждом компьютере из квартиры 2 и 3 настроен OpenVPN клиент и это работает, но я хочу, чтобы на конечных устройствах не нужно было ничего дополнительно конфигурировать, а сами роутеры выполняли бриджинг

Спать хочу, поэтому прочитал по диагонали.

Если я не ошибаюсь, тебе с сервера надо запушить маршрутизацию клиентам (и настроить на самом сервере маршрутизацию в сети клиентов). Клиенты ведь получают свои адреса по DHCP? Очень может быть, что для каждого клиента надо будет составлять свой список маршрутов (точнее, один будет общий для всех клиентов — в сеть сервера, а в сети других клиентов списки будут индивидуальны)

Да, я хочу чтобы клиенты получали свои адреса по DHCP от своего роутера, а не от того где находится сервер OpenVPN, так как мне нужна отказоустойчивость, чтобы если не работает сервер, клиенты этого никак не замечали за исключения отсутствия доступа к общим ресурсам из других сетей

но суть с пушем маршрутов примерно ясна. То есть нужно добавить маршруты на всю сеть 192.168.10.0/24 за исключением адресов конкретно этого сегмента

Да, я хочу чтобы клиенты получали свои адреса по DHCP от своего роутера, а не от того где находится сервер OpenVPN

Машины за роутерами разницы не заметят и свои адреса будут получать от своих роутеров. Шлюзом для них также будет являться роутер. А уже на роутере пакеты в нужную сеть будут заворачиваться в VPN согласно таблице маршрутизации.

То есть нужно добавить маршруты на всю сеть 192.168.10.0/24 за исключением адресов конкретно этого сегмента

Да. ЕМНИП, в мане про это рассказывалось где-то в районе опции ccd (client-config-dir)

Спасибо! То есть принцип настройки роутера следующий: настраиваю клиент на роутере как обычно, добавляю интерфейс tap0 в мост br-lan, прописываю маршруты до узлов сети либо на роутере, либо через push route на сервере. И все должно работать, правильно?

добавляю интерфейс tap0 в мост br-lan

Вот этого не нужно (тебе же надо сохранить возможность обращаться к роутеру по его VPN-адресу, чтобы пакеты ходили).

прописываю маршруты до узлов сети либо на роутере, либо через push route на сервере

Скорее «либо на роутерах, либо через push route на сервере». У тебя ведь роутеров-клиентов больше одного.

Остальное правильно, по крайней мере, должно работать

Вот этого не нужно (тебе же надо сохранить возможность обращаться к роутеру по его VPN-адресу, чтобы пакеты ходили).

а вот тут я не понял, почему не надо. Получается, что у роутера будет два интерфейса с одинаковыми IP? Это разве нормально? То есть tap0 с адресом 192.168.10.100 и такой же адрес на br-lan. Или я что-то путаю?

Скорее «либо на роутерах, либо через push route на сервере». У тебя ведь роутеров-клиентов больше одного.

все верно

То есть tap0 с адресом 192.168.10.100 и такой же адрес на br-lan

А, тогда я туплю. Я разворачивал другую конфигурацию, где внутри VPN были свои адреса, а в сетях, которые они соединяли — свои, и, соответственно, на шлюзах было по три адреса — внешний, внутренний и VPN

а я хочу обойтись только двумя адресами на каждом из роутеров

Тогда бридж, всё верно

Спасибо! Завтра буду пробовать)

Не пришлось возиться с маршрутами вообще! Не знаю почему, но оно само заработало. Я всего лишь скопировал конфиг одного из клиентов и добавил интерфейс в br-lan. Пакеты ходят в обе стороны, все друг друга видят

Тем лучше

Согласен, спасибо за помощь!

Возникла неожиданная проблема: так как настройки WiFi сети на всех трех роутерах одинаковые, телефон с Android на борту не сбрасывал ARP кэш при переключении с одного роутера на другой, что привело к тому, что сеть переставала работать. Происходило это из-за того, что когда шлюзом был, к примеру, 192.168.10.1 в ARP кэше сохранялся MAC-адрес его WiFi карты, а для узла 192.168.10.100 сохранялся MAC-адрес TAP интерфейса. Далее, после перехода в квартиру 2, где шлюзом уже должен быть 192.168.10.100, телефон пытается найти его по MAC-адресу TAP интерфейса, хотя фактически телефон подключен к WiFi и должен искать его по MAC-адресу WiFi карточки. Это приводило к ошибкам в логе роутера:

received packet on tap0 with own address as source address (addr:64:09:80:7c:ca:1b, vlan:0)

Сейчас попытался решить проблему тем, что продублировал для tap интерфейсов MAC-адреса WiFi карточек. Завтра будет видно, сработал мой план или нет

Задача состоит в объединении трех квартир в одну сеть

В чем сакральный смысл пихать все в один бродкаст домен?

А вафля у тебя во всех трёх квартирах одна и та же? В смысле, это одна сеть с точкой доступа и репитерами, или три сети с одним SSID?

это три сети с одним SSID/паролем

удобство, сэр

Тогда, может, перенастроить на одну сеть?

удобство

в чем? пердолится с бриджами? какую задачу тут не решает маршрутизация?

пердолинг с бриджами не такой уж пердолинг, ибо там все заработало. Если взамен этого настраивать маршрутизацию - не факт, что проблема с ARP-кэшем клиентов уйдет, а вот проблема пердолинга с маршрутизацией широковещательных пакетов Wake-on-Lan и DLNA появится однозначно

одна сеть не катит, ибо квартиры на большом расстоянии друг от друга. Решение с назначением MAC-адреса для интерфейса tap0 не прокатило, так как в ARP-кэш помещается MAC-адрес бриджа. Сейчас назначил для всех интерфейсов (кроме WAN) один и тот же мак. Боялся, что ОС не сможет с этим работать, но смогла. На днях оттестирую и сообщу, что получилось

одна сеть не катит

Тогда завести три сети, берущие настройки авторизации из одного места