Estou configurando um OpenVPN site a site,
Por agora:
Os usuários do lado do cliente podem acessar as sub-redes do lado do servidor.
acessar a máquina cliente VPN [seu IP na sub-rede do cliente] funciona bem. Mas não consigo acessar outras máquinas na mesma sub-rede cliente.
Eu usei esta opção na configuração do servidor: Como estas são sub-redes privadas, irei adicioná-las como estão:
route 172.20.56.0 255.255.255.0
client-config-dir ccd
E criou um arquivo igual ao nome do cliente com o seguinte conteúdo:
iroute 172.20.56.0 255.255.255.0
A máquina cliente possui este IP local 172.20.56.1 que posso acessar do lado do servidor.
O problema é que não consigo acessar nenhuma outra máquina do lado do cliente.
Alguma sugestão....
Responder1
Na verdade, o problema parece ser uma espécie de bug do openvpn. Parece que o uso topology net30(o padrão, embora essa topologia agora seja considerada obsoleta) de alguma forma interrompe o roteamento do openvpn. O primeiro passo é adicionar topology subnetao arquivo de configuração do servidor. A outra coisa que você precisa fazer é adicionar o IP do servidor VPN como gateway da rota, pois há OUTRO bug do OpenVPN que irá vomitar na rota como ela está. Então
route 172.20.56.0 255.255.255.0
deveria parecer
route 172.20.56.0 255.255.255.0 10.10.8.1
onde 10.10.8.1 é o IP do servidor na tun0interface.
Se feito corretamente, você não precisa usar nenhum tipo de natting.
Responder2
A routeinstrução na configuração e iroutena instrução do seu servidor deve permitir que seus pacotes cheguem ao site remoto. Mas o site remoto também precisa de rotas que conheçam as redes para retornar pela VPN. Você precisa adicionar algumas instruções de rota na configuração do cliente ou adicionar algumas push "route ..."instruções no seu arquivo ccd.
Em qualquer caso, como solucionar qualquer problema de roteamento, você precisatraceroutee tcpdump/wireshark.