Я смотрю, ты очень умный. Настолько, что прям лезет из тебя и удержать в себе не можешь. Давай мне тогда образ асуса на виртуалке. Я хоть пообразуюсь немного. Заодно можно будет изучить что он там фильтрует или нет.

Давай мне тогда образ асуса на виртуалке.

А причем тут асус? Разговор вообще про работоспособность схемы у ТС. Вы предлагаете заменить асус на другую железку по живому, считая что виноват сам асус, а не настройки софта. Так вот для того что бы убедиться что виноват асус, достаточно поднять виртуалку с любимым дистрнэйм, с теме же настройками ovpn(естессно с другим юзером и ip/net) и протестить, не трогая боевую систему.

Я смотрю, ты очень умный. Настолько, что прям лезет из тебя и удержать в себе не можешь.

Существуют наказания за невмешательство. В данном случае вы дали весьма плохой совет. А учитывая уже описанное мной в этом топике, включая линк на документацию по ptitunl совет еще и бессмыслен (чем-то напоминает виндоподход, а ты попробуй эту галочку поставить, это переставить и т.д.) и вреден (останавливать боевую систему ради попрыгать). Если оставить этот топик без пояснений, то возможно через какое-то время его «прочитают дети» и побегут выполнять ваши советы.

А причем тут асус?

Ну потому что через него не ходит. Даже без A и D на VPN сервере должен пинговаться адрес .5.1, чего нет. Значит, его что-то блочит. А если ты такой спец по VPN, то говори тогда, что там в настройках не так?

Существуют наказания за невмешательство.

А ещё существуют наказания за вмешательство.

на VPN сервере должен пинговаться адрес .5.1

Не должен.

А если ты такой спец по VPN, то говори тогда, что там в настройках не так?

Уже говорил Сеть за роутером подключенным к сети VPN (комментарий)

Уже говорил

Смотри, выкинь из схемы A и D. Останется асус и vpn сервер. У асуса .5.1 доступен просто потому что у него сам адрес .5.1, а на сервере VPN .5.1 просто так не доступен, ему маршрут нужен, который если прописать через своего клиента (а это B), то должен пинговаться, если ничего не режется. В этой простой схеме только один клиент B и один сервер D. Что ты там собрался пушить на клиента, когда у него самого этот адрес локальный?

Теперь выдохните и перечитайте еще раз мой пост внимательнее. Там нет не A, ни D и нет не слова про «пушить на клиента». Только сервер и клиент C1, клиенты C2-C4 приведены для лучшего понимания самой проблемы.

Не знаю что ты обозначаешь С1, но твой рецепт про то, чтобы через VPN сервер маршрутить на .5.0. А до этого он сам должен уметь маршрутиться в .5.0

Щас проверим версию мистера «anc» у меня есть классический сервер ovpn.

А до этого он сам должен уметь маршрутиться в .5.0

Один простой вопрос, пачаму «он сам должен уметь маршрутиться в .5.0»?
На всякий случай схемка

+----------------------+
| lan 192.168.5.1/24   |
|     client1          +--+            +----------------------------------+
|  ovpn tun0 10.0.0.11 |  |  +------+  |         ovpn server              |
+----------------------+  |  |      |  |        tun0 10.0.0.1             |
                          +--+ inet +--+ ip r add 192.168.5.0/24 dev tun0 |
                          |  |      |  | ip r add 192.168.6.0/24 dev tun0 |
+----------------------+  |  +------+  +----------------------------------+
| lan 192.168.6.1/24   |  |
|     client2          +--+
|  ovpn tun0 10.0.0.12 |  
+----------------------+

На самом деле, что менять железо, что шить другую прошивку, даже не разобравшись почему пакет «не ходит». Это очень сильный совет. Я считаю, любой ccna должен с такого начинать.

РЕШЕНО!

Всем просто ОГРОМНОЕ СПАСИБО! Каждый внёс свой вклад, и задачу удалось решить!

Да не совсем так как хотелось, но теперь у меня благодаря Вам есть скилл маршуртизации и целых два сервера OpenVpn))). Не думал что вернусь к своему старенькому сервачку на W12R2 openvpn classic. Вот кстати его фото - http://prntscr.com/miuud2

Мы с дочей его собирали 1789 дней тому назад :)

Рабочие конфиги:
сервер «C»:
mode server tls-server proto udp dev tun port 1194 topology subnet #tls-auth /etc/openvpn/keys/ta.key 0 dh "C:\\Program Files\\OpenVPN\\config\\dh1024.pem" ca "C:\\Program Files\\OpenVPN\\config\\ca.crt" cert "C:\\Program Files\\OpenVPN\\config\\server.crt" key "C:\\Program Files\\OpenVPN\\config\\server.key" server 192.168.200.0 255.255.255.0 user openvpn group openvpn verb 4 cipher DES-EDE3-CBC duplicate-cn keepalive 10 60 ping-timer-rem persist-key persist-tun comp-lzo no #status /var/log/openvpn/openvpn-status.log #log-append /var/log/openvpn/openvpn.log client-to-client client-config-dir "C:\\Program Files\\OpenVPN\\ccd" route 192.168.5.0 255.255.255.0 192.168.200.56

клиент "B": tls-client proto udp remote xxx.xxx.xxx.xxx port 1194 dev tun topology subnet #cd /etc/openvpn pull #tls-auth /etc/openvpn/keys/ta.key 1 cipher DES-EDE3-CBC comp-lzo no keepalive 10 60 ping-timer-rem persist-tun persist-key user openvpn group openvpn verb 3 mssfix 1200 #status /var/log/openvpn/openvpn-status.log #log-append /var/log/openvpn/openvpn.log <ca> -----BEGIN CERTIFICATE----- MIIDtTCCAx6gAwIBAgIJAOClbQ5U8lsqMA0GCSqGSIb3DQEBCwUAMIGZMQswCQYD VQQGEwJVUzELMAkGA1UECBMCQ0ExFTATBgNVBAcTDFNhbkZyYW5jaXNjbzEQMA4G A1UEChMHT3BlblZQTjERMA8GA1UECxMIY2hhbmdlbWUxDzANBgNVBAMTBlNFUlZF UjEPMA0GA1UEKRMGU0VSVkVSMR8wHQYJKoZIhvcNAQkBFhBtYWlsQGhvc3QuZG9t YWluMB4XDTE3MDIyODE0MjUxNFoXDTI3MDIyNjE0MjUxNFowgZkxCzAJBgNVBAYT AlVTMQswCQYDVQQIEwJDQTEVMBMGA1UEBxMMU2FuRnJhbmNpc2NvMRAwDgYDVQQK EwdPcGVuVlBOMREwDwYDVQQLEwhjaGFuZ2VtZTEPMA0GA1UEAxMGU0VSVkVSMQ8w DQYDVQQpEwZTRVJWRVIxHzAdBgkqhkiG9w0BCQEWEG1haWxAaG9zdC5kb21haW4w gZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBANfoGmoCz6YYKtoCAAGOwOyQISbD s+7NaPMwG50XjaRKznb5vHWx2aE2Gm1DT8AO1KMrbao40oQtuGr4DArC+FopL4Ec X9yrebX1aZwuhDIqm0dW2I2zp2P4isXXoWUW5WdD8B0iQFOt24T0AdyB/JArkYj1 IjeGuW1Uaqy7UmxHAgMBAAGjggEBMIH+MB0GA1UdDgQWBBRl0XP7Ux6JmIpadcmB F6fZoAzNRzCBzgYDVR0jBIHGMIHDgBRl0XP7Ux6JmIpadcmBF6fZoAzNR6GBn6SB nDCBmTELMAkGA1UEBhMEASMxCzAJBgNVBAgTAkNBMRUwEwYDVQQHEwxTYW5GcmFu Y2lzY28xEDAOBgNVBAoTB09wZW5WUE4xETAPBgNVBAsTCGNoYW5nZW1lMQ8wDQYD VQQDEwZTRVJWRVIxDzANBgNVBCkTBlNFUlZFUjEfMB0GCSqGSIb3DQEJARYQbWFp bEBob3N0LmRvbWFpboIJAOClbQ5U8lsqMAwGA1UdEwQFMAMBAf8wDQYJKoZIhvcN AQELBQADgYEAXccg3B/uJZPb0GRmPar6npSmkWfoNG3wdEpk4OzDbaGY9ShtYtKt 3fwV3E1xOHkFgf43pFsH703UkyHbbKBzY6QtXz0T7mpKE4XLTCy8WF+BR7e/iLeS EUhTGyIP9VxYGopSlkdPzwVQsYjsSlnikTuSoVeI+B2X5pimBUg29hg= -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- MIID/DCCA2WgAwIBAgIBAjANBgkqhkiG9w0BAQQFADCBmTELMAkGA1UEBhMCVVMx CzAJBgNVBAgTAkNBMRUwEwYDVQQHEwxTYW5GcmFuY2lzY28xEDAOBgNVBAoTB09w ZW5WUE4xETAPBgNVBAsTCGNoYW5nZW1lMQ8wDQYDVQQDEwZTRVJWRVIxDzANBgNV BCkTBlNFUlZFUjEfMB0GCSqGSIb3DQEJARYQbWFpbEBob3N0LmRvbWFpbjAeFw0x NzAyMjgxNDI3MzZaFw0yNzAyMjYxNDI3MzZaMIGZMQswCQYDVQQGEwJVUzELMAkG A1UECBMCQ0ExFTATBgNVBAcTDFNhbkZyYW5jaXNjbzEQMA4GA1UEChMHT3BlblZQ TjERMA8GA1UECxMIY2hhbmdlbWUxDzANBgNVBAMTBmNsaWVudDEPMA0GA1UEKRMG Y2xpZW50MR8wHQYJKoZIhvcNAQkBFhBtYWlsQGhvc3QuZG9tYWluMIGfMA0GCSqG SIb3DQEBAQUAA4GNADCBiQKBgQDLv/LKvw3qlmGtwI09qaX5kjkHVQaN+1BighER E1L4P6VzWI9uvLb4iQayt7cYGYmc9FNrwETthaMiRlGw/mcTE4NuZ/6kTa12+uou 2yE2jQNDpHXRP2QS6hA/aLbSopzzMtVkjWcrd9TLllJaY0CIwLJm05CDXGo9k2qH vIsT7QIDAQABo4IBUDCCAUwwCQYDVR0TBAIwADAtBglghkgBhvhCAQ0EIBYeRWFz eS1SU0EgR2VuZXJhdGVEASNlcnRpZmljYXRlMB0GA1UdDgQWBBRw9oXyRIiEcmhd eEeBqtzwJIoLSjCBzgYDVR0jBIHGMIHDgBRl0XP7Ux6JmIpadcmBF6fZoAzNR6GB n6SBnDCBmTELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAkNBMRUwEwYDVQQHEwxTYW5G cmFuY2lzY28xEDAOBgNVBAoTB09wZW5WUE4xETAPBgNVBAsTCGNoYW5nZW1lMQ8w DQYDVQQDEwZTRVJWRVIxDzANBgNVBCkTBlNFUlZFUjEfMB0GCSqGSIb3DQEJARYQ bWFpbEBob3N0LmRvbWFpboIJAOClbQ5U8lsqMBMGA1UdJQQMMAoGCCsGAQUFBwMC MAsGA1UdDwQEAwIHgDANBgkqhkiG9w0BAQQFAAOBgQAFTLMNmtNiQiKTqiS5Jrl0 DCNA+xpiuW4AY1UsKspewdGWZtdpMM9P/IHUFDZS9Y3tut/HFR1HrNFu0rcIjwsw pF/Q6P4XGYeoYwWcSigneqeH2a90nCC4xXw4lDAVjzCYkKxTSf4xd8x1G0NKNfWV DgZk7mP7qd30nVxLwjdNLg== -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- MIICdwIBADANBgkqhkiG9w0BAQEFAASCAmEwggJdAgEAAoGBAMu/8sq/DeqWYa3A jT2ppfmSOQdVBo37UGKCERETUvg/pXNYj268tviJBrK3txgZiZz0U2vARO2FoyJG UbD+ZxMTg25n/qRNrXb66i7bITaNA0OkddE/ZBLqED9ottKinPMy1WSNZyt31MuW UlpjQIjAsmbTkINcaj2Taoe8ixPtAgMBAAECgYBPoc+0qgM4Yln+3LjXFs0Fw76C PRr4tvZt6cPd1p2g5M83S6+TajJg5L03cFIhGyoLq/pGrLjD1G0z4iPfdy61NVQt DRDNl9VtxBWAHzfvbXAFq9hkXSaRDpsnSPVKb9iWO/8rIpX5UpLywVDEV+2We/LO OWAGm6ii14/CjSvVSQJBAOxc4rc+klYE65Kx9sa5GSCfT0EoedNuwmfbJdLbwO5u n7W+9VzGANe+Ivw3ijIEASNslyqoHaV7OwRldBcPXJcCQQDcrW2YL2cYMLvs6hRp esc8n0BJp89XOGVONrhbgHwYItTkW2zfqamrnpdJ7vDOsRKZ/3KrOVpshZpGEt45 8DAbAkBp/Uz89uYQBKzOX1dVzXLjGg0kHs5ibWxnvfG8GCbvxFOB4FuOeouuMujl SNKDl6NjqvIugqyopBXW5tej75OJAkEAuwTLbX822txqV1Tl6aKg+TJpdEKgSGXG DSv4v6s6/+V9EO6ebUrHPWfRBVpXgIO2pQZFMvEPPgtX/Gz/IpD44wJBANUv9Mjf w22dPbC62gS0wRA9/+zDi3/fS7SXDlZrf2asrOUxhv8lpjOfmXymnH91V+M+BhDe LhigHnA3wkYJfiY= -----END PRIVATE KEY----- </key>

ccd клиента на роутере «B»: ifconfig-push 192.168.200.56 255.255.255.0 iroute 192.168.5.0 255.255.255.0

Прописал в ручную через консоль маршут на хосте «D» route add 192.168.5.0 mask 255.255.255.0 192.168.200.56

И всё, пинги пошли во все стороны!!! Ещё раз всем спасибо, удачи и любви Вам!

Один простой вопрос, пачаму «он сам должен уметь маршрутиться в .5.0»?

Вот как раз поэтому он и должен уметь маршрутизироваться, чтобы пакеты ходили куда надо. Поэтому и по L3 идёт маршрутизация через IP. То есть via 10.0.0.11

На асусе проприетарная прошивка. И там заведомо сложнее отлаживаться. Не?

Не вникал, но рад, что всё работает. И да, это ты молодец, что приватный ключ для подключения спалил. :)

Поэтому и по L3 идёт маршрутизация через IP. То есть via 10.0.0.11

Замечательно, а где у нас 10.0.0.11, не вот реально где? Аааа, он на tun0, там же где и 10.0.0.12, а может еще и .13, .14... .N И его mac наверное известен? Ну да, как я мог забыть, mac в L3 же прописан.

Прописал в ручную через консоль маршут на хосте «D»

Имхо вот так удобнее будет.
Варианты.
Пушить с сервера.
На сервере, в ccd клиента D
push "route 192.168.5.0 255.255.255.0"

Или на клиенте в конфиг добавить
route 192.168.5.0 255.255.255.0

Уже сделал так :) Спасибо! Не ругайтесь по чём зря...

.... «anc» и «turtle_bazon» у вас разные формы мышления. Вы только дополняете друг друга.. :)

«turtle_bazon» - не волнуйтесь, гостям только рады, а ключи ясен-красен с ошибками...

Когда рядового лоровца останавливали трудности? Кмк в этом вся суть пользования ляликсом и смежными технологиями.

Да уже без разницы где он, на tun0 или нет, мы же через IP маршрутизацию ведём. А к чему ты с маком паясничаешь я не понял.

Когда лоровец вырос, ему некогда заниматься ненужными трудностями. :)

Я очень раз что у вас все так прекрасно в вашем мирке, но надеюсь что когда-нибудь все-таки теорию начнете читать, а не только куски копипаст, на основании которых потом принимаете решение что и с небольшими изменениями оно должно работать так же.
dixi

Я так понял, ответы по существу кончились?

Да. Дальше разжевывать человеку, у которого в голове только голословные утверждения, не вижу смысла.

Ну так бы сразу и сказал, что облажался. Я не спорю, ты где-то соображаешь, но отрицать очевидные вещи, например, что ротуер должен уметь маршрутизоваться в сеть прежде того, чтобы кого-то туда маршрутизовать, это ты уже перегнул, конечно.