Доступ к клиентам OpenVPN по внешнему адресу.

А пробросить 3389-й порт на центось и сказать пользователям об изменении адреса терминального сервера - не вариант?

а чем отличается push «route-gateway 10.0.0.1» от push «redirect-gateway»?

Задача: организовать доступ к терминальному серверу изнутри и снаружи VPN одновременно так, чтобы пользователи удалённого рабочего стола Win 2003 выходили в интернет через шлюз в VPN

В мане написано. меньше писать в конфиг: вместо указания route и route-gateway на серверный конец тоннеля — одна команда, которая делает зашибись.

не понял тебя... вся эта муть висит в тырнэте на VPS-ах и друг о друга ни каким боком не трётся...

то есть ты предлагаешь не ковырять маршруты, оставить push «redirect-gateway» и повыёживаться с метриками? я правильно понял?

не знаю, заработает ли такое на винде, но полагаю, что push «redirect-gateway def1» спасет отца русской демократии.

Ну просто доступ к терминальному серверу win2003 был бы по тому же адресу, по которому клиенты подключаются к VPN, то есть по внешнему адресу CentOS. И в win2003 можно было бы оставить всё, как сейчас есть.
Ерунду советую...

оно просто разбивает сетку 0.0.0.0/0 пополам. Что интересно, если такие маршруты добавлять с помощью route, то ничего не работает.

не спасло ...

Таблицы маршрутизации w2003 до и после установления тоннеля, а также конфиги ovpn центоса и венды в студию!

А я не вижу другого способа заставить это работать. статью на тезнете прочёл? пили

Таблицы маршрутизации w2003

Это уже злостный оффтопик. /me пригрозил пальчиком и потянулся к телефону прямой связи с модераторами

А openvpn-то опенсорсный, ЕМНИП, ля-ля-ля!

правилами разве запрещено ?

щас всё будет карочи. ван момент плз

в заголовке написано «информация об ОС Linux» :)

я настраиваю OpenVPN на CentOS. всё в поряде

IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x10003 ...08 00 27 da 95 07 ...... AMD PCNET ёхьхщёЄтю PCI Ethernet рфряЄхЁют
0x10004 ...00 ff 49 61 7f b4 ...... TAP-Win32 Adapter OAS
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.20.1 192.168.20.2 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.20.0 255.255.255.0 192.168.20.2 192.168.20.2 20
192.168.20.2 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.20.255 255.255.255.255 192.168.20.2 192.168.20.2 20
224.0.0.0 240.0.0.0 192.168.20.2 192.168.20.2 20
255.255.255.255 255.255.255.255 192.168.20.2 10004 1
255.255.255.255 255.255.255.255 192.168.20.2 192.168.20.2 1
Основной шлюз: 192.168.20.1
===========================================================================
Постоянные маршруты:
Отсутствует




IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x10003 ...08 00 27 da 95 07 ...... AMD PCNET ёхьхщёЄтю PCI Ethernet рфряЄхЁют
0x10004 ...00 ff 49 61 7f b4 ...... TAP-Win32 Adapter OAS
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 13.13.13.9 13.13.13.10 1
13.13.13.0 255.255.255.0 13.13.13.9 13.13.13.10 1
13.13.13.8 255.255.255.252 13.13.13.10 13.13.13.10 30
13.13.13.10 255.255.255.255 127.0.0.1 127.0.0.1 30
13.255.255.255 255.255.255.255 13.13.13.10 13.13.13.10 30
109.232.229.25 255.255.255.255 192.168.20.1 192.168.20.2 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.20.0 255.255.255.0 192.168.20.2 192.168.20.2 20
192.168.20.2 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.20.255 255.255.255.255 192.168.20.2 192.168.20.2 20
224.0.0.0 240.0.0.0 13.13.13.10 13.13.13.10 30
224.0.0.0 240.0.0.0 192.168.20.2 192.168.20.2 20
255.255.255.255 255.255.255.255 13.13.13.10 13.13.13.10 1
255.255.255.255 255.255.255.255 192.168.20.2 192.168.20.2 1
Основной шлюз: 13.13.13.9
===========================================================================
Постоянные маршруты:
Отсутствует


port 9000
proto udp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
server 13.13.13.0 255.255.255.0
keepalive 10 120
push «ping 10»
push «ping-restart 60»
push «redirect-gateway»
client-to-client
tls-server
comp-lzo
user nobody
group nobody
persist-key
persist-tun
ifconfig-pool-persist /etc/openvpn/ipp.txt
verb 3
mute 10
log /var/log/openvpn/openvpn.log
status /var/log/openvpn/openvpn-status.log
push «dhcp-option DNS 8.8.8.8»
route 13.13.13.0 255.255.255.252


client
remote ***.***.*** 9000
dev tun
proto udp
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert test2.crt
key test2.key
ns-cert-type server
comp-lzo
verb 3
auth-user-pass

как-то не очень хорошо получилось ...
но уж што есть, то есть ...

статейку почитал. очень познавательно. щас попробую поэкспериментировать.

Все честно, твое push «redirect-gateway» перебивает дефолтовый маршрут, направляя все неизвестное в тоннель. Решается заменой на push «redirect-gateway def1». Кстати, resolv-retry по умолчанию infinite. И логи лучше смотреть в messages, при длительной работе и verb 3 они имеют обыкновение раздуваться.

выставил VPN метрику 100, ethernet метрику 1 сервак начал пинговаца по внешнему но перестал по внутреннему ... хотя, уже что-то. спасибо

я пробовал push «redirect-gateway». результатов нет

Ну так ты выставил условно в 100 раз больший приоритет внешнему интерфейсу, кэп.

не ту айпишку пинговал внутри канала ... вроде как зашевелилось спасибо, дружище, дай те бог здоровья буду ибаста дальше

Ему про Фому, он про Ерёму. def1 добавлял? Версия openvpn, надеюсь, 2.0.x ?

я попробовал, без результатов

Ну тогда делай метрики разные. Руками. Лучше на сервере через client-config-dir. На других машинах-то можешь посмотреть, что происходит, если def1 сделать? Появляются маршруты на сети 0.0.0.0/1 и 128.0.0.0/1 ? И версия какая?

версия 2.2.0. с метриками тоже всё не долго жило ... без объяснения причин всё вернулось на круги своя. полезу в client-config-dir. на данный момент ситуация вернулась к прежней. придобавлении def1 маршруты появляются, но от этого не легче

Сдается мне, что нас где-то дурят. Маршруты на располовиненную сеть ipv4 прописались, дефолтный не изменился, все правильно отработало. И при этом по адресу в сети 192.168.20.0 терминальный сервер недоступен?

не доступен. и на пинги тоже не отвечает. я сейчас переключился на win 2008. думал может 2003 чудит. однако нет... та же песня

поставил def1. перезапустил всё на свете, ребутнул 2008 сервант, и он стал доступен по обоим интерфейсам. чудеса... а 2003 так и молчит... щас попробую нга него апдейты накатить. может всё таки повезёт