Вопрос по маршрутизации(openvpn) Клиенты не видя

Unik

Настроил OpenVPN но никак не получается сделать чтоб филиалы видели друг друга. Сеть в центральном офисе видит каждый филиал, но вот друг друга нет..
Помогите пожалуйста разобраться.

Центральный офис:
Сеть - 192.168.0.0/24
Филиал1:
Сеть - 192.168.30.0/24
Филиал2:
Сеть - 192.168.40.0/24

В ЦО настоил OpenVPN как сервер "Remote access SSL/TLS"
Сеть для VPN - 10.16.0.0/24

В Advavced прописал маршруты:
push "route 192.168.0.0 255.255.255.0";
push "route 192.168.30.0 255.255.255.0";
push "route 192.168.40.0 255.255.255.0";
route 192.168.30.0 255.255.255.0;
route 192.168.40.0 255.255.255.0;

В Client Specific Overrides для каждоо филиала указал:
Филиал1:
iroute 192.168.30.0 255.255.255.0;
ifconfig-push 10.16.0.3 10.16.0.1;

Филиал2:
iroute 192.168.40.0 255.255.255.0;
ifconfig-push 10.16.0.5 10.16.0.1;

Галку чтоб клиенты видели друг друга поставил.

В итоге вот маршрутизация на сервере:

В филиалах настоил OpenVPN как клиент "Site to Site SSL/TLS"

В Advavced на клиенте указал:
remote BB.BB.BB.BB; (резервный канал в ЦО)
keepalive 10 60;

В итоге вот маршрутизация в Филиале2(в Филиале 1 такая же с учетом что сеть там 192.168.30.0/24 ):

Как видно из этих таблиц маршрутизации на сервере шлюзом указан почему то 10.16.0.2 хотя сервер на адресе 10.16.0.1, и у клиентов шлюз именно 10.16.0.1 Это так и должно быть?

rubic

А по какому мануалу настраивали? Вот это вот: ifconfig-push 10.16.0.3 10.16.0.1 - не нужно. Когда клиенты цепляются к серверу, адреса из диапазона 10.16.0.0/24 выдаются им автоматом /30 подсетями.

Unik

Без явного указания ip у меня не было связи даже с сетью за сервером.

gr0mW

На сервере в Advanced добавте  client-to-client

gr0mW

А по поводу ifconfig-push почитайте http://openvpn.net/index.php/open-source/documentation/howto.html#policy.
Насколько я понимаю назначение статических IP-адресов клиентам OpenVPN состоит в добавлении строки ifconfig-push <ip-адрес клиента=""><ip-адрес сервера="">в файлы конфигурации клиентов. Пары IP-адресов должны быть уникальными,  входить в состав последовательных подсетей, ограниченных маской /30 (255.255.255.252),  находиться в пределах пула IP-адресов, выделенного для виртуальной частной сети . Пары IP-адресов смотрите по ссылке в начале поста.
У меня таким образом настроено несколько зданий и все нормально работает.</ip-адрес></ip-адрес>

rubic

@Unik:

Без явного указания ip у меня не было связи даже с сетью за сервером.

Ну, как угодно. Просто этими директивами вы рушите адресацию, которую сервер от клиентов ждет. http://openvpn.net/index.php/open-source/faq/77-server/273-qifconfig-poolq-option-use-a-30-subnet-4-private-ip-addresses-per-client-when-used-in-tun-mode.html
Используйте хотя бы не 3 и 5, а 5 и 9.

gr0mW

По документации openVPN пары должны быть [1,2], [5,6] [9,10] и тд

They must be taken from successive /30 subnets

Unik

@gr0mW:

По документации openVPN пары должны быть [1,2], [5,6] [9,10] и тд

Спасибо. Понял теперь что совсем не то указывал. Буду пробовать.

rubic

@gr0mW:

По документации openVPN пары должны быть [1,2], [5,6] [9,10] и тд

They must be taken from successive /30 subnets

У него 2 филиала. В одном 5(+6), в другом - 9(+10).
UPD: хотя да, ifconfig-push вообще в первом посте топика неверный. Надо ifconfig-push 10.16.0.5 10.16.0.6, а во втором филиале ifconfig-push 10.16.0.9 10.16.0.10. Только все это мартышкин труд. Не нужны эти директивы. Все это делается автоматом. Автору, прежде чем писать что-то в advanced, надо найти в /var/etc по-моему конфиг OpenVPN и посмотреть не дублирует ли он своими директивами уже существующие и на что влияют всякие галки в WEBGUI.
То, что без этих директив офис не видел сеть филиала - это не показатель. Если наобум менять настройки, уже не помнишь, что привело к успеху. Директивы ifconfig-push - лишние.

gr0mW

@rubic:

Только все это мартышкин труд. Не нужны эти директивы. Все это делается автоматом. Автору, прежде чем писать что-то в advanced, надо найти в /var/etc по-моему конфиг OpenVPN и посмотреть не дублирует ли он своими директивами уже существующие
Директивы ifconfig-push - лишние.

Не дублируються … Директива ifconfig-push имеет более высокий приоритет над  ifconfig-pool и перекрывает его настройки
Используеться для назначения статических IP адресов клиентам.
Мое мнение что рулить правилами проще на статике.