Какие правила маршрутизации необходимы для связи сетей через OpenVPN?

Question

GeorgNegoro @GeorgNegoro

Какие правила маршрутизации необходимы для связи сетей через OpenVPN?

1. Есть удаленные клиенты - сети (офис и филиалы), подсети (192.168.10.0/24, 192.168.20.0/24, 192.168.30.0/24),
2. Есть VPS, на нем UBUNTU, OpenVPN сервер. В интернете, так как стабильного интернета на филиалах нет, в офисе тоже.
3. Всем OpenVPN клиентам присваивается статичный IP.

Задача: Соединить все в одну VPN-сеть, по схеме подключения "один офис -> все филиалы", т.е из офиса в каждый филиал можно подключаться, из филиала в филиал нет.

Что сделано: OpenVPN сервер поднят (UBUNTA), клиенты (филиалы, mikrotik) подключаются. Но абсолютно никто никого не видит (ping), только с самого сервера все клиенты.

Как такое реализовать?

Вопрос задан более трёх лет назад
592 просмотра

Комментировать

Подписаться 2 Средний Комментировать

Пригласить эксперта

Ответы на вопрос 1

6 комментариев

Максим @freezl

neol, а разве тут

route 192.168.10.0 255.255.255.0 client_ip1
route 192.168.20.0 255.255.255.0 client_ip2
route 192.168.30.0 255.255.255.0 client_ip3

client_ip требуются? По-моему должно быть просто

route 192.168.10.0 255.255.255.0
route 192.168.20.0 255.255.255.0
route 192.168.30.0 255.255.255.0

Написано более трёх лет назад

neol @neol

Максим, без этого сервер не сможет угадать за каким из клиентов скрывается сеть.

Написано более трёх лет назад
Дмитрий Шицков @Zarom

neol, мне кажется, Микротики не умеют обрабатывать push роута

Написано более трёх лет назад
neol @neol

Дмитрий Шицков, Вот тут я не в курсе, возможно. Но добавить свой маршрут в них наверняка можно, так что задача решаема, хоть и немного геморнее.

Написано более трёх лет назад
Дмитрий Шицков @Zarom

GeorgNegoro динамическая маршрутизация (ospf) топикстартеру в руки и рекомендация использовать VPN отличный от OpenVPN для микротиков (gre over ipsec, l2tp ipsec)

Написано более трёх лет назад
GeorgNegoro @GeorgNegoro Автор вопроса

Всем спасибо за участие, все получилось как задумывалось.

Написано более трёх лет назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Linux

+4 ещё

Простой
Как исправить ошибку при установке pam_sqlite?
- 1 подписчик
- 41 минуту назад
- 1 просмотр
0

ответов
Linux

+1 ещё

Простой
Хочу заняться графической оболочкой для линукс. Есть ли какая-нибудь база дистрибутива?
- 1 подписчик
- 5 часов назад
- 82 просмотра
3

ответа
Ubuntu

+2 ещё

Простой
Как раздать интернет с ПК на ip камеру по локальной сети на Ubuntu 20.04?
- 1 подписчик
- 10 часов назад
- 37 просмотров
1

ответ
Linux

Средний
Linux на SSD рядом с Win10, на внешний HDD или виртуализация?
- 1 подписчик
- 15 часов назад
- 131 просмотр
6

ответов
Mikrotik

+1 ещё

Средний
Firewall Mikrotik правило блокировки по портам заблокировал магазин хром, почему?
- 3 подписчика
- 17 часов назад
- 226 просмотров
0

ответов
Linux

+1 ещё

Простой
Что делать, если пишет «error: unknown filesystem Enering rescue mode... grub rescue>»?
- 1 подписчик
- вчера
- 109 просмотров
2

ответа
Linux

+3 ещё

Простой
Как вернуть обратно gnome 44 в Kali linux?
- 1 подписчик
- вчера
- 66 просмотров
0

ответов
Linux

+1 ещё

Средний
Astra Linux — как избавиться от шума в HDD?
- 2 подписчика
- вчера
- 330 просмотров
4

ответа
Linux

+2 ещё

Простой
Что выбрать для проекта Windows Embedded или Linux?
- 1 подписчик
- вчера
- 166 просмотров
4

ответа
Linux

+1 ещё

Средний
Как переименовать файлы и папки с одинаковым именем, но разным регистром?
- 1 подписчик
- вчера
- 111 просмотров
0

ответов
Показать ещё Загружается…

Программист C для Embedded Linux

Radiofid • Санкт-Петербург

от 120 000 до 180 000 ₽

Linux Администратор DevOps

ИМАГ • Москва

от 150 000 до 170 000 ₽

Программист C/C++ embedded Linux

РТК Автоматика • Москва

от 170 000 до 250 000 ₽

Доработать клиентское приложение для GTA 5 на C#

20 апр. 2024, в 00:51

1000 руб./за проект

Верстка и логика формы выбора билетов в зале для покупки

20 апр. 2024, в 00:43

10000 руб./за проект

Разработать формирование УПД на Java

20 апр. 2024, в 00:28

20000 руб./за проект

Answer 1 · 2018-08-02 05:13:39

В конфиге openvpn необходимо прописать добавление маршрутов до удалённых сетей на сервере:

route 192.168.10.0 255.255.255.0 client_ip1
route 192.168.20.0 255.255.255.0 client_ip2
route 192.168.30.0 255.255.255.0 client_ip3

В ccd добавить маршруты до удалённых сетей для клиентов. Например для 192.168.10.0/24:

push "route 192.168.20.0 255.255.255.0"
push "route 192.168.30.0 255.255.255.0"

Для двух других аналогично.

На сервере разрешите маршрутизацию трафика:
sysctl net.ipv4.ip_forward=1

И в цепочке FORWARD iptables разруливаете какие пакеты куда должны ходить:

iptables -A FORWARD -o tun0 -s 192.168.10.0/24 -j ACCEPT # Из сети 192.168.10.0/24 можно подключаться куда угодно
iptables -A FORWARD -o tun0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT # разрешить пакеты по уже установленным соединениям
iptables -A FORWARD -j REJECT # Остальное запрещаем

Если я ничего не забыл, то должно взлететь.

Какие правила маршрутизации необходимы для связи сетей через OpenVPN?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт