прописывай роуты руками

Перед тем как передать дефолт гетевей.. вписать статический маршрут до домашнего «минисервера» через рабочую сеть...

прописал так push «route 94.198.55.0 255.255.255.0» push «route 178.20.235.0 255.255.255.0» push «route 213.252.131.0 255.255.255.0» push «route 213.252.177.0 255.255.255.0» push «route 209.170.73.0 255.255.255.0» push «route 193.110.91.0 255.255.255.0»

Но при запуске клиента World of Tank соединение не устанавливается, и снифером видно, что пакеты идут через стандартный gateway

подскажи как это сделать?

ip r a 193.193.193.193/32 via 10.20.30.40 

193.193.193.193  -  Айпи минисервера
10.20.30.40     -  Дефолтный шлюз  на работе

Суть такова... как это сделать на винде я думаю ты разберёшся (Наводка: команда route)

В NM такое из коробки

правильно люди говорят: статический роут тебя спасёт

а на самом «минисервере» настроен форвадинг и вообще он умеет раздавать интернет для интерфейса tun0, или что там у тебя для openvpn

рабочая локалка отваливается потому что твой комп пытается искать заданный шлюз в местной сети

не пуши роуты, а на тачке с ovpn-клиентом после установки соединения прописывай нужные (я так понимаю, дефолтный тебе надо оставить через локалку, а для танчиков через впн?)

затрудняюсь ответить... как проверить можно?

совершенно верно.

если я правильно понял мысль, то надо сделать так

route add 94.198.55.0 mask 255.255.255.0 10.10.1.5 if 0x3

и т.д.

что такое NM?

route add 94.198.55.0 mask 255.255.255.0 10.10.1.5 if 0x3

так не работает. Видимо надо разбираться с форвардингом. Есть мысли как это настроить?

push «redirect-gateway» не проходит,

логи

в /etc/sysctl.conf net.ip4.forwarding=1 ну и сам iptables настроить на раздачу интернета

спасибо, буду пробовать.

Сделал так.

sudo iptables -P FORWARD ACCEPT

sudo sysctl -w net.ipv4.ip_forward=1

/etc/sysctl.conf отсутствует, есть /etc/sysctl.d/10-network-security.conf добавил туда

net.ipv4.forwarding=1

net.ipv4.ip_forward=1

перезагрузил минисервер, переподключился по VPN

на рабочей машине прописал route add 94.198.55.0 mask 255.255.255.0 10.10.1.5 if 0x3 metric 50

Не работает. Может я что-то не так делаю?

метрика

должна быть выше, чем у gw в локалке

правильно люди говорят: статический роут тебя спасёт

Да. Но насколько помню при соединении нужно ему удалить старый default.

маскарад или снат на впн сервере забыл

метрика
должна быть выше, чем у gw в локалке

выше это больше? или меньше?

маскарад или снат на впн сервере забыл

не забыл, а не знал. Можно подробнее?

http://openvpn.net/index.php/open-source/documentation/miscellaneous/88-1xhow...

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE

где 10.0.0.0/24 - твоя впн сеть, eth0 - внешний интерфейс сервера с интернетом

ну как бы да. ему нужно вместо старого дефолта пропистаь роут до впн сервера (у него же белый айпи) через местный шлюз, а дефолт роут писать через впн подсеть

на минисервере выполнил

sudo iptables -t nat -A POSTROUTING -s 10.10.1.0/24 -o eth0 -j MASQUERADE

перезагрузил минисервер

на рабочей выполнил

route add 94.198.55.0 mask 255.255.255.0 10.10.1.5 if 0x3 metric 1

не работает. Что ещё надо сделать, что заработало?

перезагрузил минисервер

а параметры сохранять будет Пушкин?

Но при запуске клиента World of Tank соединение не устанавливается, и снифером видно, что пакеты идут через стандартный gateway

стесняюсь спросить, но под шindoшs openvpn от администратора запускается?

а то у меня, например, так работает:

port 1194
proto udp
dev tun

######################################################################

float
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
replay-window 64 15

######################################################################

server 192.168.2.0 255.255.255.0

push "ping 10"
push "ping-restart 60"
push "ip-win32 dynamic"
push "route-method exe"
push "route 192.168.0.0 255.255.255.0"
push "dhcp-option DNS 192.168.0.1"
push "dhcp-option WINS 192.168.0.1"
push "comp-lzo yes"
push "redirect-private"
...

стесняюсь спросить, но под шindoшs openvpn от администратора запускается?

почему уточняю - без прав админа openvpn client не сможет прописать полученные push'ем с сервера роуты

push "redirect-private"

меняю в ccd для нужных устройств на

push "redirect-gateway"

перестать ребутить сервер, например

начнем с того, что у него маскарад или снат даже не включены на впн сервере

начнем с того, что у него маскарад или снат даже не включены на впн сервере

ну да, согласен, но:

при запуске клиента World of Tank соединение не устанавливается, и снифером видно, что пакеты идут через стандартный gateway

клиентскую часть тоже надо «добить»

маскарад или снат даже не включены на впн сервере

у меня, кстати, SNAT'а нет, хватает маскарада

разумеется, я же написал 'или'

разумеется, я же написал 'или'

я, разве, возражал?

и в одной сети пасутся домашняя локалка, рабочий комп, планшет и телефон

задача несколько иная. Я до домашних компов в локалке тоже могу достучаться, а вот до интернет-ресуров - нет.

openvpn от администратора запускается?

как бы да, иначе вообще нифига бы не работало. А соединение с сервером вполне есть, ssh и прочее работает.

Я до домашних компов в локалке тоже могу достучаться, а вот до интернет-ресуров - нет.

у него маскарад или снат даже не включены на впн сервере

Делайте выводы. Дистрибутив на мини-сервере какой?

Дистрибутив на мини-сервере какой?

в первом посте писал. Ubuntu 12.04

ну в чем проблема то?
выкинь кашу из головы, внятно скажи чего хочешь добиться, что уже сделал.

Ещё раз попробую сформулировать задачу. Есть минисервер со статическим IP. На Ubuntu 12.04. На нем поднят openvpn Конфигурация openvpn

port 443
proto tcp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
server 10.10.1.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 10.10.1.0 255.255.255.0"
client-to-client
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log-append  openvpn.log
verb 4
mute 20
client-config-dir /etc/openvpn/ccd

Есть компьютер на работе, в рабочей локалке. Рабочая локалка, насколько я знаю, защищена ForeFront. Закрыты все порты, кроме tcp 80,443. На рабочем компе установлен openvpn как клиент. Он может подключаться к минисерверу.

Хочу, чтобы была возможность отправлять пакеты на любые порты на 94.198.55.0/24 по пути: рабочий комп->минисервер->94.198.55.0/24. Причём между рабочим компом и минисервером общение должно происходить по VPN, а между минисервером и 94.198.55.0/24 через обычное домашнее подключение к интернету.

Что было сделано дополнительно. На минисервере

sudo iptables -P FORWARD ACCEPT

sudo sysctl -w net.ipv4.ip_forward=1

в файл /etc/sysctl.d/10-network-security.conf добавил

net.ipv4.forwarding=1

net.ipv4.ip_forward=1

sudo iptables -t nat -A POSTROUTING -s 10.10.1.0/24 -o eth0 -j MASQUERADE

на рабочем компе выполнил

route add 94.198.55.0 mask 255.255.255.0 10.10.1.5 if 0x3 metric 1

Но соединение не устанавливается.

это ещё запушить попробуй:

push "route 94.198.55.0 255.255.255.0"
push "redirect-private"

iptables -I FORWARD -i tun0 -o <your_external_interface> -j ACCEPT
iptables -I FORWARD -i <your_external_interface> -o tun0 -j ACCEPT

и логи клиента дай

ну так подели задачу на несколько маленьких:
начни с установки соединения между клиентом и впн-сервером, чтобы клиент ходил в интернет через впн-сервер.
без всяких лишних роутов и усложнений. сделаешь - будешь уже думать про 94.198.55.0/24.

выкинь push route, добавь

push «redirect-gateway»

после этого логи клиента в студию

да, для надежности пушь сторонние днс еще

push «dhcp-option DNS 8.8.8.8»

2 dhameoelin

Прописал, не заработало.

2 xtraeft

После добавления push «redirect-gateway», вообще пропадает сеть. Видимо рабочий комп пытается найти IP VPN-сервера в рабочей сети.

push route выкинул?

не, push route оставил 2 шт.

push «route 10.10.1.0 255.255.255.0»

push «route 94.198.55.0 255.255.255.0»

логи клиента где?

$subj

ты неизлечим
если не хочешь слушать советы - разбирайся сам.

push «route 10.10.1.0 255.255.255.0»

вот это нахрен не нужно, например, если пушишь редирект-гейтвей

вот это нахрен не нужно, например, если пушишь редирект-гейтвей

ок, попробую. Но что-то мне подсказывает, что так вообще вся сеть пропадёт.