OpenVPN

gaz0n	# 11 лет, 4 месяца назад
Темы: 8 Сообщения: 53 Участник с: 10 декабря 2010	попробовал treaceroute 192.168.0.20 первой же строкой пошел на 192.168.10.1. значит маршруты на клиенте правильные?

Natrio	# 11 лет, 4 месяца назад
Темы: 48 Сообщения: 4771 Участник с: 08 января 2011	gaz0n 192.168.0.0/24 dev tun0 scope link а это не путь к сети физической? 192.168.0.0/24 это ваша удалённая локалка, dev tun0 означает, что она роутится через туннель tun0 Просто для того, чтобы работала виртуальная сеть (туннель), должна работать и физическая – локалка, или через USB, или вайфай, или мобильная сеть – хоть что-нибудь из этого. Но у вас в табюлице нет упоминается никаких интерфейсов, кроме tun0. Покажите вывод ip addr и ip rule Но это ещё не всё. Чтобы подключиться через IP-туннель к локалке, мало сделать на неё роут, надо чтобы ответные пакеты из удалённой локалки попадали обратно в туннель. IP машины на другом конце туннеля находится ВНЕ диапазона локалки, поэтому ответы шлются не туда, скорей всего через общий шлюз. Самый простой способ избежать этого – настроить NAT (маскарадинг), с подменой исходящего IP пакетов на IP шлюза в локалке: iptables -t nat -A POSTROUTING -s 192.168.10/24 -o eth0 -j MASQUERADE

Natrio

# 11 лет, 4 месяца назад

Темы: 48

Сообщения: 4771

Участник с: 08 января 2011

gaz0n
192.168.0.0/24 dev tun0 scope link
а это не путь к сети физической?

192.168.0.0/24 это ваша удалённая локалка, dev tun0 означает, что она роутится через туннель tun0
Просто для того, чтобы работала виртуальная сеть (туннель), должна работать и физическая – локалка, или через USB, или вайфай, или мобильная сеть – хоть что-нибудь из этого. Но у вас в табюлице нет упоминается никаких интерфейсов, кроме tun0.
Покажите вывод ip addr и ip rule

Но это ещё не всё.
Чтобы подключиться через IP-туннель к локалке, мало сделать на неё роут, надо чтобы ответные пакеты из удалённой локалки попадали обратно в туннель. IP машины на другом конце туннеля находится ВНЕ диапазона локалки, поэтому ответы шлются не туда, скорей всего через общий шлюз.
Самый простой способ избежать этого – настроить NAT (маскарадинг), с подменой исходящего IP пакетов на IP шлюза в локалке:

iptables -t nat -A POSTROUTING -s 192.168.10/24 -o eth0 -j MASQUERADE

gaz0n	# 11 лет, 4 месяца назад
Темы: 8 Сообщения: 53 Участник с: 10 декабря 2010	Действительно. пакеты обратно не возвращались. Сейчас на одном из компов поставил шлюз на тот где стоит openvpn и доступ получил. если настроить максарад, то на шлюзе (в моем случае свитч) необходимо прописать, чтобы все пакеты сети 192.168.10.0/24 отправлялись на raspberry? или после настройки ната уже не надо на шлюзе ничего делать?

gaz0n

# 11 лет, 4 месяца назад

Темы: 8

Сообщения: 53

Участник с: 10 декабря 2010

Действительно. пакеты обратно не возвращались. Сейчас на одном из компов поставил шлюз на тот где стоит openvpn и доступ получил.
если настроить максарад, то на шлюзе (в моем случае свитч) необходимо прописать, чтобы все пакеты сети 192.168.10.0/24 отправлялись на raspberry? или после настройки ната уже не надо на шлюзе ничего делать?

gaz0n	# 11 лет, 4 месяца назад
Темы: 8 Сообщения: 53 Участник с: 10 декабря 2010	попробовал настроит iptables вернул ошибку iptables v1.4.20: Can't use -i with POSTROUTING

gaz0n	# 11 лет, 4 месяца назад
Темы: 8 Сообщения: 53 Участник с: 10 декабря 2010	Помогло iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE всем спасибо

Natrio	# 11 лет, 4 месяца назад
Темы: 48 Сообщения: 4771 Участник с: 08 января 2011	gaz0n попробовал настроит iptables вернул ошибку iptables v1.4.20: Can't use -i with POSTROUTING Прошу прощения. iptables -t nat -A POSTROUTING -s 192.168.10/24 -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE Так вы вообще все пакеты загнали в маскарадинг, этого лучше не делать.

Natrio

# 11 лет, 4 месяца назад

Темы: 48

Сообщения: 4771

Участник с: 08 января 2011

gaz0n
попробовал настроит iptables вернул ошибку
iptables v1.4.20: Can't use -i with POSTROUTING

Прошу прощения.

iptables -t nat -A POSTROUTING -s 192.168.10/24 -o eth0 -j MASQUERADE

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Так вы вообще все пакеты загнали в маскарадинг, этого лучше не делать.

gaz0n	# 11 лет, 4 месяца назад
Темы: 8 Сообщения: 53 Участник с: 10 декабря 2010	спасибо исправил

killer1804	# 11 лет, 4 месяца назад
Темы: 54 Сообщения: 515 Участник с: 13 марта 2007	делал такую фишку, чтобы с клиента виделась сеть за openvpn-сервером я на клиенте маршруты прописывал, типа route add 192.168.1.0 mask 255.255.255.0 10.8.0.1 где 192.168.1.0 - подсеть к которой нужно получить доступ с клиента 192.168.1.0 - ip openvpn-сервера ну и NAT прописать нужно, вернее SNAT iptables -t nat -A POSTROUTING -s 10.8.0.2 -d 192.168.1.0/24 -j SNAT --to-source 192.168.1.2 192.168.1.2 - это адрес eth0 интерфейса openvpn-сервера, или того кто в 192.168.1.0 сеть смотрит.

killer1804

# 11 лет, 4 месяца назад

Темы: 54

Сообщения: 515

Участник с: 13 марта 2007

делал такую фишку, чтобы с клиента виделась сеть за openvpn-сервером я на клиенте маршруты прописывал, типа
route add 192.168.1.0 mask 255.255.255.0 10.8.0.1
где 192.168.1.0 - подсеть к которой нужно получить доступ с клиента
192.168.1.0 - ip openvpn-сервера
ну и NAT прописать нужно, вернее SNAT
iptables -t nat -A POSTROUTING -s 10.8.0.2 -d 192.168.1.0/24 -j SNAT --to-source 192.168.1.2
192.168.1.2 - это адрес eth0 интерфейса openvpn-сервера, или того кто в 192.168.1.0 сеть смотрит.