Я настраиваю OpenVPN-соединение типа «сеть-сеть»,
На данный момент:
Пользователи на стороне клиента могут получить доступ к подсетям на стороне сервера.
доступ к клиентской машине VPN [ее IP в клиентской подсети] работает нормально. Но я не могу получить доступ к другим машинам в той же клиентской подсети.
Я использовал эту опцию в конфигурации сервера: Поскольку это частная подсеть, я добавлю их такими, какие они есть:
route 172.20.56.0 255.255.255.0
client-config-dir ccd
И создал файл с таким же именем, как у клиента, со следующим содержимым:
iroute 172.20.56.0 255.255.255.0
Клиентская машина имеет локальный IP-адрес 172.20.56.1, к которому я могу получить доступ со стороны сервера.
Проблема в том, что я не могу получить доступ ни к одной другой машине на стороне клиента.
Какие-либо предложения....
решение1
На самом деле проблема, похоже, в каком-то баге OpenVPN. Похоже, что использование topology net30(по умолчанию, хотя эта топология теперь считается устаревшей) каким-то образом нарушает маршрутизацию OpenVPN. Первый шаг — добавить topology subnetв файл конфигурации сервера. Другое, что вам нужно сделать, — добавить IP сервера VPN в качестве шлюза маршрута, так как есть ДРУГОЙ баг OpenVPN, который будет блевать на маршрут в его нынешнем виде. Так что
route 172.20.56.0 255.255.255.0
должно выглядеть так
route 172.20.56.0 255.255.255.0 10.10.8.1
где 10.10.8.1 — IP-адрес сервера на tun0интерфейсе.
Если все сделано правильно, вам вообще не придется использовать какой-либо вид наттинг.
решение2
Оператор routeв конфигурации сервера и irouteоператор должны разрешать вашим пакетам попадать на удаленный сайт. Но удаленному сайту также нужны маршруты, знающие о сетях, чтобы направить их обратно через VPN. Вам нужно либо добавить некоторые операторы маршрутизации в конфигурацию клиента, либо добавить некоторые push "route ..."операторы в ваш файл ccd.
В любом случае, как и при устранении любой проблемы с маршрутизацией, вам необходимотрассировкаи tcpdump/wireshark.