OpenVPN Server Bridge Mode
Здравствуйте!
Имеется локальная сеть с десятками vlan-ов, OpenVPN сервер на Debian и маршрутизатор Cisco 2921 на границе сети.
Сервер OpenVPN натится циской и клиенты подключаются к нему из интернет.
OpenVPN сервер работает в режиме bridge, находится в подсети 10.10.10.0/24 и имеет адрес 10.10.10.1. Клиенты получают адреса из диапазона 10.10.10.10 - 10.10.10.250. Необходимо чтобы клиенты видели сети 172.17.17.0/24, 172.17.18.0/24 и т.д. и маршрутизация и весь трафик проходил на Cisco 2921.
С текущей конфигурацией трафик у меня на Cisco уходит, но назад не возвращается. Gateway на Cisco 172.17.17.254, 172.17.18.254 и т.д.
Помогите, пожалуйста.
Конфиг сервера
mode server
port 443
proto tcp
dev tap0
user openvpn
group openvpn
dh /etc/openvpn/keys/dh.pem
ca /etc/openvpn/keys/CA.crt
cert /etc/openvpn/keys/VFA-VPNO-0001-V.cer
key /etc/openvpn/keys/VFA-VPNO-0001-V.key
crl-verify /etc/openvpn/keys/certcrl.crl
tls-auth /etc/openvpn/keys/ta.key 0
script-security 2
cipher AES-256-CBC
mute 10
persist-key
persist-tun
keepalive 10 900
client-config-dir /etc/openvpn/ccd
topology subnet
server-bridge 10.10.10.1 255.255.255.0 10.10.10.10 10.10.10.250
route 172.17.23.0 255.255.255.0 10.10.10.1
route 172.17.17.0 255.255.255.0 10.10.10.1
route 172.17.19.0 255.255.255.0 10.10.10.1
push "route 172.17.17.0 255.255.255.0 10.10.10.1"
push "route 172.17.19.0 255.255.255.0 10.10.10.1"
push "route 172.17.23.0 255.255.255.0 10.10.10.1"
route-method exe
client-to-client
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn-server.log
verb 4
tun-mtu 1200
mssfix 1450
plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/ldap.conf
username-as-common-name
Client CCD
ifconfig-push 10.10.10.15 255.255.255.0
sudo ip ro
default via 10.10.10.254 dev br0
10.10.10.0/24 dev br0 proto kernel scope link src 10.10.10.1
172.17.17.0/24 via 10.10.10.1 dev br0
172.17.19.0/24 via 10.10.10.1 dev br0
172.17.23.0/24 via 10.10.10.1 dev br0
sudo iptables-save
# Generated by iptables-save v1.4.21 on Mon Jul 4 12:36:55 2016
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5213:632521]
-A INPUT -i tap0 -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A FORWARD -i br0 -j ACCEPT
COMMIT
# Completed on Mon Jul 4 12:36:55 2016
# Generated by iptables-save v1.4.21 on Mon Jul 4 12:36:55 2016
*nat
:PREROUTING ACCEPT [228:15962]
:INPUT ACCEPT [15:816]
:OUTPUT ACCEPT [92:5759]
:POSTROUTING ACCEPT [305:20905]
COMMIT
# Completed on Mon Jul 4 12:36:55 2016
sudo ifconfig
br0 Link encap:Ethernet HWaddr 00:0c:29:44:9a:1f
inet addr:10.10.10.1 Bcast:10.10.10.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fe44:9a1f/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:774 errors:0 dropped:0 overruns:0 frame:0
TX packets:522 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:88687 (86.6 KiB) TX bytes:64779 (63.2 KiB)
eth0 Link encap:Ethernet HWaddr 00:0c:29:44:9a:1f
inet6 addr: fe80::20c:29ff:fe44:9a1f/64 Scope:Link
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:7984 errors:0 dropped:0 overruns:0 frame:0
TX packets:7738 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1069938 (1.0 MiB) TX bytes:1012255 (988.5 KiB)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
tap0 Link encap:Ethernet HWaddr 66:e5:8d:c9:2f:a4
inet6 addr: fe80::64e5:8dff:fec9:2fa4/64 Scope:Link
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:172 errors:0 dropped:4 overruns:0 frame:0
TX packets:154 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:19118 (18.6 KiB) TX bytes:11838 (11.5 KiB)