Openvpn сеть-сеть соединение

aranel

Подобные темы уже были, но ничего в них полезного не нашел, да и отвечать туда нельзя уже.
Есть два шлюза, за каждым по /24 подсети: 162.168.1.222 и 192.168.3.185. На втором стоит pfsense с таким конфигом сервера:

dev ovpns1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-128-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 94.153.253.19
tls-server
server 10.0.8.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc
ifconfig 10.0.8.1 10.0.8.2
lport 1194
management /var/etc/openvpn/server1.sock unix
push "route 192.168.3.0 255.255.255.0"
route 192.168.1.0 255.255.255.0
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /etc/dh-parameters.1024
comp-lzo

И маршруты (только относящиеся к vpn):

10.0.8.0           10.0.8.2           UGS         0        0 ovpns1
10.0.8.1           link#9             UHS         0        0    lo0
10.0.8.2           link#9             UH          0        0 ovpns1
192.168.1.0        10.0.8.2           UGS         0        0 ovpns1
192.168.3.0        link#1             U           0    84153    re0

Конфиг клиента на 192.168.1.222:

client
dev tun
proto udp
remote 94.153.253.19 1194
ping 10
resolv-retry infinite
nobind
persist-key
persist-tun
cipher AES-128-CBC
ca /etc/openvpn/keys/server.crt
cert /etc/openvpn/keys/pfserver.crt
key /etc/openvpn/keys/pfserver.key
;ns-cert-type server
comp-lzo
pull
verb 3

И его маршруты:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.8.5        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
10.0.8.1        10.0.8.5        255.255.255.255 UGH   0      0        0 tun0
192.168.3.0     10.0.8.5        255.255.255.0   UG    0      0        0 tun0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0

С 192.168.1.222 3-я подсеть пингуется, а с 192.168.3.185 первая - нет. И похоже пакеты даже не доходят до ovpns1 интерфейса.
На файерволе вроде как все разрешено:

Tamriel

tcpdump
тебе в помощь! на логи фаервола особенно смотреть не нада.

aranel

tcpdump
тебе в помощь!

Логично. Только кроме того что

пакеты даже не доходят до ovpns1

больше информации я с него не смог выцепить.

aranel

Нет, пакет с сервера доходит до ovpns1 интерфейса, но на tun0 клиента не появляется.

aranel

Необходимо было в client-specific-overrides добавить запись с именем клиента и содержимым iroute 192.168.1.0 255.255.255.0
Маршруты при этом не поменялись и вообще никаких видимых изменений, зато теперь работает. Магия.