История изменений
Исправление ValdikSS, (текущая версия) :
Если вам нужен именно OpenVPN, то настройте его в режиме L2 (TAP), либо настройте в режиме одного клиента (iroute 0.0.0.0 у единственного клиента).
Многопользовательские L3-туннели (в т.ч. OpenVPN TUN, WireGuard) не позволяют указывать IP-адрес, через который происходит маршрутизация (ip route … via 10.2.0.100) — эта опция требует L2-связности. Многопользовательские L3-серверы требуют конфигурации внутренней маршрутизации (опция iroute в OpenVPN, AllowedIPs в WireGuard), поэтому новичку для связи серверов/маршрутизаторов лучше использовать простые Peer-to-peer L3-туннели без собственных подсистем маршрутизации и проверок адреса источника: IPIP, GRE, L2TP, либо L2-туннели (но это может добавить проблем с маршрутизацией и безопасностью).
IPIP/GRE не подходит в данном случае из-за технических ограничений в ДЦ.
Ограничений по протоколам? Ну тогда заверните IPIP или GRE в UDP через fou, например:
https://www.man7.org/linux/man-pages/man8/ip-gue.8.html
https://gist.github.com/ciis0/b7c7b179978fa8b5b907b9abedeb6092
Либо настройте L2TPv3 статично (через ip l2tp, а не через xl2tpd сотоварищи).
The ip l2tp commands are used to establish static, or so-called unmanaged L2TPv3 ethernet tunnels. L2TPv3 is suitable for Layer-2 tunneling. L2TPv3 defines two packet encapsulation formats: UDP or IP.
Исправление ValdikSS, :
Если вам нужен именно OpenVPN, то настройте его в режиме L2 (TAP), либо настройте в режиме одного клиента (iroute 0.0.0.0 у единственного клиента).
Многопользовательские L3-туннели (в т.ч. OpenVPN TUN, WireGuard) не позволяют указывать IP-адрес, через который происходит маршрутизация (ip route … via 10.2.0.100) — эта опция требует L2-связности. Многопользовательские L3-серверы требуют конфигурации внутренней маршрутизации (опция iroute в OpenVPN, AllowedIPs в WireGuard), поэтому новичку для связи серверов/маршрутизаторов лучше использовать простые Peer-to-peer L3-туннели без собственных подсистем маршрутизации и проверок адреса источника: IPIP, GRE, L2TP, либо L2-туннели (но это может добавить проблем с маршрутизацией и безопасностью).
IPIP/GRE не подходит в данном случае из-за технических ограничений в ДЦ.
Ограничений по протоколам? Ну тогда заверните IPIP или GRE в UDP через fou, например:
https://www.man7.org/linux/man-pages/man8/ip-gue.8.html
https://gist.github.com/ciis0/b7c7b179978fa8b5b907b9abedeb6092
Либо настройте L2TPv3 статично (через ip l2tp, а не через xl2tpd сотоварищи).
Исходная версия ValdikSS, :
Если вам нужен именно OpenVPN, то настройте его в режиме L2 (TAP), либо настройте в режиме одного клиента (iroute 0.0.0.0 у единственного клиента).
Многопользовательские L3-туннели (в т.ч. OpenVPN TUN, WireGuard) не позволяют указывать IP-адрес, через который происходит маршрутизация (ip route … via 10.2.0.100) — эта опция требует L2-связности. Многопользовательские L3-серверы требуют конфигурации внутренней маршрутизации (опция iroute в OpenVPN, AllowedIPs в WireGuard), поэтому новичку для связи серверов/маршрутизаторов лучше использовать простые Peer-to-peer L3-туннели без собственных подсистем маршрутизации и проверок адреса источника: IPIP, GRE, L2TP, либо L2-туннели (но это может добавить проблем с маршрутизацией и безопасностью).
IPIP/GRE не подходит в данном случае из-за технических ограничений в ДЦ.
Ограничений по протоколам? Ну тогда заверните IPIP или GRE в UDP через fou, например:
https://www.man7.org/linux/man-pages/man8/ip-gue.8.html
https://gist.github.com/ciis0/b7c7b179978fa8b5b907b9abedeb6092