OpenVPN на OpenWRT в локальной сети - роутинг

iptables -A FORWARD -i venet0:0 -p tcp --dport 801 -j ACCEPT

- ни разу не маршрутизация.

"-i venet0:0" - двадцать раз объясняли почему почему не будет работать.

«ip ro get 192.168.1.3» на сервере при подключенном клиенте что говорит? или просто «ip ro»

на впн-сервере есть в конфиге что-то типа «push route 192.168.1.0 255.255.255.0» и в ccd клиента «iroute 192.168.1.0 255.255.255.0» ?

про венду совсем непонятно. «iptables -t nat -A PREROUTING -d 5.101.66.xxx -p tcp -m tcp --dport 801 -j DNAT --to-destination 192.168.2.5:801» а у венды 192.168.1.3

«iptables -t nat -A POSTROUTING -d 192.168.2.5 -p tcp -m tcp --dport 801 -j SNAT --to-source 5.101.66.xxx» вообще нафиг не нужен.

на vds-е форвардинг включен ? (sysctl net.ipv4.ip_forward)

Спасибо за ответ !

Насчет VDS я более-менее уверен ибо:

1. wget 192.168.2.5:801/index.htm с консоли VDS пишет нет соединения, даже если web сервер поднят на самой железке. А ping 192.168.2.5 есть. Эта же команда с консоли железки проходит. Роутинг ни при чем ?

2. Как я говорил, без железки, через клиент на винде работает. Правило «iptables -t nat -A PREROUTING -d 5.101.66.xxx -p tcp -m tcp --dport 801 -j DNAT --to-destination 192.168.2.5:801» в этом случае срабатывает т.к. клиент поднимает на винде свой интерфейс 192.168.2.5, и web сервер привязывается к обоим.

Дело в железке с OpenWRT + OpenVPN, в недоступности tun0 извне. Я правильно понимаю что если не нужен firewall то все интерфейсы можно поместить в LAN зону и ничего блокироваться не будет ? Могу конфигурацию железки прислать, скажите только что именно.

P.S. ip ro говорит

root@vps7769:~# ip ro get 192.168.1.3

192.168.1.3 dev venet0 src 5.101.66.xxx cache mtu 1500 advmss 1460 hoplimit 64

root@vps7769:~# ip ro

192.168.2.0/24 dev tun11 proto kernel scope link src 192.168.2.1 default dev venet0 scope link

замечательно. На сервре просто тупо нет маршрута в сеть 192.168.1.0/24

На сколько я помню, маршрутизация в подсети клиента нормально работает только с «dev tap» & «topology subnet»

vel, Вы меня пожалуйста простите за тупость, я в маршрутизации совсем ламер ((

1. Если нет маршрута в 192.168.1.0, то почему не работает с web сервером на железке который по идее висит на 192.168.2.5 ?

2. Маршрут на сервере в 192.168.1.0 должен выглядеть так ?

route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.2.1

Проблема в том что там Printunl, а не обычный openvpn, я так понял для него /etc/openvpn/ccd/ c iroute похоже не катит ...

3. Можно для совсем тупых: почему маршрут в 192.168.1.0 нужно прописывать на сервере, а не на клиенте ? В моем понимании на клиенте д.б. маршрут 192.168.1.0 -> 192.168.2.0, а на сервере 192.168.2.0 -> внешний IP

1. Если нет маршрута в 192.168.1.0, то почему не работает с web сервером на железке который по идее висит на 192.168.2.5 ?

а на openwrt порты в iptables открыты/проброшены?

Маршрут на сервере в 192.168.1.0 должен выглядеть так ?

«192.168.1.0/24 via 192.168.2.5 dev tunX»

или

«192.168.1.0/24 dev tunXX»

3. Можно для совсем тупых: почему маршрут в 192.168.1.0 нужно прописывать на сервере, а не на клиенте ?

Таблица маршрутизации у всех узлов сети должна соответствовать реальности.

Клиент и так подключен к этой сети, он о ней все что нужно знает, а серверу нужно пояснить, что эта подсеть подключена через такое-то сетевое устройство или доступно через шлюз с адресом 192.168.2.5. Иначе пакеты в сеть клиента уйдут через шлюз по-умолчанию сервера, т.е. совсем в другую сторону.

На сервере сделал

ip route add 192.168.1.0/24 via 192.168.2.5 dev tun11

Не знаю уж что это дало ...

На OpenWRT оба интерфейса в LAN сегменте, я ж говорил что firewall не нужен, я так понимаю iptables к нему относится.

«ip ro» на openwrt ужно смотреть ну и tcpdump в помощь.