Conexión de redes OpenVPN a múltiples redes de enrutamiento

(Suponiendo que topology subnetse utilicen para todos los servidores y clientes. La respuesta puede aplicarse o no al método tap).

Para enrutar desde 10.8.0.0/24a 10.10.0.0/24, solo necesita:

1. permitir el reenvío de IP entre las dos interfaces tun en10.8.0.1/24
2. impulsar la ruta 10.10.0.0/24a sus clientes para asegurarse de que el tráfico se enrute hacia el túnel.

Es un poco más complicado hacer la ruta desde 10.10.0.0/24hacia 10.8.0.0/24. Básicamente, lo que desea de este lado es enrutar a través de un cliente en lugar del servidor. Se podría pensar que route-gatewaysería suficiente configurar el "cliente de puerta de enlace" deseado como el de los otros clientes. Pero en realidad ni siquiera importa.

Para convertir un determinado cliente en la puerta de entrada de una determinada ruta ( 10.8.0.0/24en este caso), lo que hay que hacer es:

1. agregue un archivo "CCD" (consulte --client-config-direl manual de openvpn para obtener más detalles), con su nombre común (CN) como nombre de archivo. En el archivo, agregue iroute 10.8.0.0 255.255.255.0.
2. agregar client-to-cliental servidor conf de 10.10.0.1/24.
3. agregue un archivo "CCD" llamado DEFAULT. En el archivo, agregue push "route 10.8.0.0 255.255.255.0".
4. agregue route 10.8.0.0 255.255.255.0al servidor conf 10.10.0.1/24si desea acceder 10.8.0.0/24desde él (o si desea evitarlo client-to-client).

EDITAR: client-to-clientse puede evitar si también se permite el reenvío de IP entre las dos interfaces tun en 10.10.0.1/24. Sin client-to-client, iroutesolo se aplicaría al propio servidor. En ese caso, el tráfico de los clientes se enrutará "internamente" 10.10.0.1/24primero y luego 10.8.0.1/24(debido al routey irouteaplicado al servidor).