Tengo OpenVPN configurado en un servidor de puerta de enlace Debian. La LAN del enrutador de la puerta de enlace del servidor OpenVPN es 172.16.20.0/24. La IP de la puerta de enlace es 172.16.20.254. Debajo del archivo openvpn.conf:
port 1194 proto udp dev tun ca ca.crt cert ccrr.crt key ccrr.key dh dh1024.pem server 172.16.21.0 255.255.255.0 ifconfig-pool-persist ipp.txt keepalive 10 120 comp-lzo user nobody group users persist-key persist-tun status openvpn-status.log verb 4 client-to-client route 192.168.55.0 255.255.255.0 push "route 172.16.20.0 255.255.255.0" push "route 172.16.200.0 255.255.255.0"
La red LAN del lado del cliente es 192.168.55.0/24 y la IP de la puerta de enlace es 192.168.55.254. La VPN de LAN es 172.16.21.0/24. Después de conectarse correctamente, el servidor VPN tiene la siguiente IP 172.16.21.1 y el cliente 172.16.21.22. El cliente hace ping al servidor y a toda la LAN conectada a él, incluido el enrutador ADSL con IP 172.16.200.254. El servidor de ping OpenVPN exitosamente IP 172.16.21.22 pero no puede hacer ping a la dirección IP de la LAN del cliente, es decir, 192.168.55.3 o la puerta de enlace ADSL del cliente LAN, es decir, 192.168.55.254.
Estas son las rutas del lado del servidor:
root@ccrr:/# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 172.16.200.254 0.0.0.0 UG 0 0 0 eth0 172.16.20.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 172.16.21.0 172.16.21.2 255.255.255.0 UG 0 0 0 tun0 172.16.21.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 172.16.200.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2 192.168.55.0 172.16.21.2 255.255.255.0 UG 0 0 0 tun0
Conecté la configuración del firewall con las siguientes reglas:
iptables -A INPUT -i tun+ -j ACCEPT iptables -A OUTPUT -o tun+ -j ACCEPT
Seguí la guía a continuación para indicarle al servidor qué ruta seguir para encontrar el cliente LAN. Incluir varias máquinas en el lado del cliente cuando se utiliza una VPN enrutada (dev tun).
Tengo el mismo problema cuando intento instalar como cliente otro enrutador de puerta de enlace Debian openvpn. Todo funciona: el cliente se conecta al servidor y puede hacer ping tanto al servidor de puerta de enlace como a openvpn en ambos dispositivos conectados a su LAN, pero no al revés. Es decir, si el servidor de puerta de enlace VPN, o los dispositivos conectados a su LAN, intentan hacer ping al cliente no tiene ninguna respuesta.
Intenté ver qué sucede con tcpdump a los paquetes ICMP al enviar el comando ping desde el servidor al cliente y este es el resultado:
18:12:01.335462 ip: 172.16.21.1 > 192.168.55.3: ICMP echo request, id 5855, seq 1, length 64 18:12:02.334983 ip: 172.16.21.1 > 192.168.55.3: ICMP echo request, id 5855, seq 2, length 64
Ayúdenme a comprender por qué sucede esto y cómo puedo resolver este problema. Perdón por mi mal ingles. Grazie.