Problem z konfiguracją openVPN

[darcom]

Witam.

 

Dostałem zadanie by w sieci firmowej postawić VPN-a. Po zapoznaniu się z możliwościami wybór padł na OpenVPN. Instalacja łatwa, konfiguracja powiedzmy że też bez większych kłopotów - bez większych bo jednak się jakiś pojawił. Problem jest już wielokrotnie poruszany jednak coś robię źle i nie mogę sobie z nim poradzić - a oto jego opis:

 

Sieć (192.168.2.x 255.255.252.0) - zarządzana przez router (brama, dhcp) - w sieci ileś tam komputerów - w sieci jest serwer (ip wpisane z ręki, Win Server 2008 R2 x64) na którym jest odpalony vpn. Podłączenie do servera idzie bez problemu ale problemem jest ustawienie możliwości poruszania się po sieci wewnętrznej przez podłączonego klienta. Klient może pingować do neta (np ping www.wp.pl idzie), może pingować do bramy vpn ale nie udaje się spingować nic w sieci lokalnej. Moje configi:

 

serwer

 

port 1194

proto tcp

dev tun

tun-mtu 1500

ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"

cert "C:\\Program Files\\OpenVPN\\config\\server.crt"

key "C:\\Program Files\\OpenVPN\\config\\server.key"

dh "C:\\Program Files\\OpenVPN\\config\\dh1024.pem"

server 192.168.4.0 255.255.255.0

ifconfig-pool-persist ipp.txt

# client-config-dir ccd

keepalive 10 120

comp-lzo

user nobody

group users

persist-key

persist-tun

status openvpn-status.log

verb 3

client-to-client

push "dhcp-option DNS 192.168.2.1"

push "route 192.168.0.0 255.255.255.0"

 

 

client

 

client

dev tun

proto tcp

remote xxx.xxx.xxx.xxx 1194

nobind

ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"

cert "C:\\Program Files\\OpenVPN\\config\\klient01.crt"

key "C:\\Program Files\\OpenVPN\\config\\klient01.key"

ns-cert-type server

persist-tun

persist-key

keepalive 10 120

comp-lzo

status openvpn-status.log

verb 3

 

 

Teoretycznie doczytałem że trzeba ustawić routing tak by się te sieci widziały ale nie wiem jak to poprawnie zrobić, w temacie sieci nie jestem asem i nie wiem co jest nie tak. Czy mógłby ktoś podpowiedzieć co robię nie tak, gdzie jest popełniony błąd. Będę wdzięczny za pomoc a czas mnie już trochę goni bo myślałem że w końcu doczytam co i jak a tu "cztery litery"

[MatiK]

Osobiście za bardzo nie zestawiałem tuneli VPN ale właśnie o tym czytam i w książce którą mam jest napisane żeby zrobić tak:

na komputerze- kliencie z Windows XP

uruchomić CMD i wykonać polecenie route zgodnie ze składnią

route add 192.168.10.0 mask 255.255.255.0 10.8.0.9 gdzie 192.168.10.x to sieć LAN do której mają mieć dostęp chłopcy i dziewczyny z VPN a 10.8.0.x to adresy przypisywane przez VPN ale tak jak mówię nie do końca sie na tym znam

[darcom]

No ale raczej nie będę na każdym kompie tego robił a do tego nie wiem czy tam będzie xp, vista czy 7. chyba raczej powinno się to samo jakoś ustawiać.

[MatiK]

No ale raczej nie będę na każdym kompie tego robił a do tego nie wiem czy tam będzie xp, vista czy 7. chyba raczej powinno się to samo jakoś ustawiać.

Od tego jest to polecenie push natomiast mi chodziło głównie o to żeby to sprawdzić testowo bo gdyby po takiej zmianie na jednej testowej maszynie działało to znaczy że należy drążyć temat związany z poleceniem push. Znalazłem jeszcze informację że u klientów z systemami Vista (7 chyba też) trzeba dodać route-method exe route-delay 2 ze względu na zabezpieczenia wbudowane w system.

[darcom]

W konfiguracji servera zmieniłem : server 10.10.10.0 255.255.255.0 - żeby się nie mieszały sieci.

Wedle sugestii: route add 192.168.2.0 mask 255.255.255.0 10.10.10.6 (10.10.10.6 to komputer klient) - na komputerze klienta - niestety nic nie dało jeśli dobrze zrozumiałem składnie.

Wpisy do Visty i 7 dodałem ale to teraz raczej kosmetycznie bo nic do sprawy nie wnosiły. Nadal niestety nie ma połączenia sieci.

 

Tak wygląda tabela routingu na serwerze jeśli może się do czegoś przydać - to już się raczej nie przyda

 

EDIT:

 

Udało się problem rozwiązać. Szukając namiętnie rozwiązania wielokrotnie natykałem się na że przydał by się NAT - choć w linuksach jest to pod postacią maskarady i forwardingu. Więc poszedłem tym tropem i zainstalowałem na serwerze router NAT. Posiłkowałem się TYM artykułem, mimo iż jest on trochę szerszy to jednak po głębszej analizie artykułu i paru próbach zainstalowałem samą opcję "Translator adresów sieciowych". Raczej trudno mi teraz powiedzieć wszystkie szczegóły co jak ustawiłem ale większość to raczej jest na domyślnych ustawieniach. Przy takiej konfiguracji OpenVPN i zrobieniu tego NAT-a wszystko ładnie ruszyło i mam dostęp do czego potrzebuję czyli do całej sieci. Może się to komuś też przyda i naprowadzi kogoś na dobry trop.