OpenVPN - ping din client catre alte statii din LAN-ul serverului.

salut, am o problema căruia nu ii dau de cap deloc....
nu pricep ce fac gresit...sunt foarte foarte de multi care cauta raspuns la asta.
insa eu nu folosesc linux in nici unul din capete
deasemnea am dezactivat FIREWALL-ul si pe client si pe server - temporar

Am un server OpenVPN ce sta in aceasta configurație

Serverul OpenVPN (Win10) are IP-ul 192.168.5.10
el face parte din rețeaua 192.168.5.0/24
GW: 192.168.5.1
IP-ul serverului OpenVPN este: 10.8.0.1

am configurat si configurat un client (acasa) un client ce are IP-ul 10.11.11.200 un
si face parte din rețeaua 10.11.11.0/24
GW: 10.11.11.1
Serverul - adica statia Win10 - are următoarele setari relevante
IP-ul pe care stația il primește de la serverul OpenVPN pentru acest tunel este 10.8.0.2 (sau pe scurt interfata)
are setat EnableRouting (si a fost restartat)


menționez ca pot da PING si accesa sau transfera fisiere catre si de pe server in amble directii
clientul se conectează cu bine la server fara nici o problema
de asemenea pot da ping de pe client catre : 10.8.0.1 (ip-ul serverului de OpenVPN)
si pot da ping catre IP-ul pe care serverul il are in retea: 192.168.5.10


ce ruta trebuie sa adaug in client sau pe server pentru ca sa pot accesa orice statie din LAN-ul serverului 192.168.5.0/24 ?
am adaugat in client aceasta ruta "route 192.168.5.0 255.255.255.0 10.8.0.1"

tracert  -d 192.168.5.[ceva]

Si vezi de acolo ce se intampla.

Statia 192.168.5.13 cum stie sa ajunga la 10.11.11.55 de exemplu?
Daca n-ai ruta setata pe 192.168.5.13 catre 10.11.11.55 prin OpenVPN n-are cum sa functioneze.
Ruta o setezi pe router, sau pe fiecare statie in parte daca vrei sa te complici.
Valabil si invers, statiile din  10.11.11.0/24 cum stiu sa ajunga la 192.168.5.0/24? exista vreo ruta setata ? nu, nu exista.
Spor!
PS:

Mihai_3, on 22 august 2021 - 15:59, said:

Unde? pe reddit?

Edited by Znevna, 22 August 2021 - 16:18.

dexterash: din pacate nimic....

Merge perfect tunelul insa problema mea este ca de pe client cu pot sa
pingui nimic in LAN-ul in care este serverul VPN.

am adugat ruta: 192.168.5.0 255.255.255.0 10.8.0.1
cu speranța ca asa ii explic ce gateway sa folosească daca vrea sa trimită către 192.168.5.0/24 insa asta nu rezolva nimic.
cel mai mult astept raspund de la cineva care foloseste OpenVPN in felul explicat de mine si mai putin de la "comentatori" care nu au facut in viata lor un VPN fie ca este in router fie ca este intr-un soft gen pfsense etc...

De pe serverul VPN poti pingui in LANul sau?

@Mihai_3
Am avut OpenVPN setat pe routere care rulau OpenWRT, mi-au tinut toate punctele de lucru + clienti remote ani buni.
Cand am migrat la MikroTik-uri + IKEv2 am mers in paralel cu acele OpenVPN-uri mutate in spatele MikroTik-urilor, tot traficul OpenVPN fiind rutat corespunzator pana cand a fost finalizata migrarea.
Mai am si cateva conexiuni prin instante WireGuard care ruleaza pe statii Windows prin diverse puncte de lucru.
Dar daca tu stii mai bine, imi cer scuze!
Articolul de aici prezinta cam toate situatiile posibile cu "OpenVPN in felul explicat de tine":
https://openvpn.net/...-server-subnet/
Presupunand ca restul de pasi i-ai facut corect, mentioneaza ce-am zis si eu mai sus, chiar in prima parte: "Including multiple machines on the server side when using a routed VPN (dev tun)"

Quote

Edited by Znevna, 22 August 2021 - 17:48.

cate placti de retea ai? trebuia sa specifici si pe unde sa iasa. Incearca sa ii adaugi si un metric mai mare decat la cel principal.

de ex:

route add -net 192.168.5.0 netmask 255.255.255.0 gw 192.168.5.0.1 dev <ce eth iese in reteaua locala care vrei sa ping> metric 1111

1. Ai nevoie de rutare în ambele direcții. În clientul de VPN ai adăugat o rută ca să știe că pachetele către rețeaua 192.168.5.0 trebuie să le trimită către 10.8.0.1 (serverul de VPN).
Având în vedere că nu faci SNAT (pe Linux e banal, pe Windows habar n-am) mai departe trebuie și stațiile din rețea să aibă rută către 10.8.0.0 prin IP-ul de rețea al serverului (192.168.5.10) eg: route 10.8.0.0 mask 255.255.255.0 192.168.5.10, altfel nu vor transmite răspunsurile către clienții de VPN unde trebuie.

Apropo, ruta necesară în clientul de VPN o poți trimite mai simplu din config-ul de OpenVPN din server

Quote

și nu îți mai bați capul ca este sau nu statică, etc. O adaugă automat clientul de OpenVPN după ce s-a conectat.

2. Mai verifică încă o dată dacă ai IP forwarding activ pe server. Când zici că "are setat EnableRouting (si a fost restartat)" te referi la client sau la server?
Implicit Windows nu face forward la pachete între interfețe, deci chiar dacă ai rutele adăugate în clienți către el, când ajunge pachetul pe server aceasta o să îl ignore în loc să îl ruteze către cealaltă interfață.
N-am mai lucrat pe Windows de ceva vreme, dar vezi dacă te ajută răspunsul ăsta: https://serverfault.com/a/929089
Verifică dacă ai și serviciul de Routing and Remote Access activ.

Edited by gigelvasile, 22 August 2021 - 22:16.

voi verifica inca o data setarile .... multumesc.
revin cu un progres al lucurilor
Pana acum nu mi-am pus problema de OpenVPN am setat L2TP cu IpSec direct pe route server de aceea care era si GW in retea
de data asta este diferit OpenVPN server nu se găsește pe GW ci in alta parte practic alt GW

Ca să rezolvi problema cu rutarea de la clienții din rețea către cei din VPN poți adăuga ruta către 10.8.0.0 direct pe GW.
Clienții din rețea vor trimite pachetele către GW ca de obicei și GW-ul le va retrimite către serverul de VPN.

Rutarea va fi asimetrică, dar scapi de necesitatea de configura fiecare client din rețea:
client_vpn --(192.168.5.0/24)--> server_vpn --(link)--> client_retea
client_retea --(0.0.0.0)--> gw --(10.8.0.0/24)--> server_vpn --(link)--> client_vpn

Dacă mergi pe varianta asta, trebuie să mai ai grijă la regulile de forwarding în firewall pe GW, să nu taie pachetele pentru că nu le vede ca parte a unei conexiuni deja stabilite, sau cine știe ce reguli de forwarding mai ai tu acolo.

problema a fost rezolvata astfel:

pe stația client (acasa) ce se conectează via internet folosind OpenVPN configurat ca client am adăugat ruta:

route ADD -p 192.168.5.0 MASK 255.255.255.0 10.8.0.1 10.8.0.2 METRIC 40

(unde: 192.168.5.0/24 este range-ul in care este situat serverul de OpenVPN iar 10.8.0.1 fiind GW si 10.8.0.2 este interfata)

de asemenea am adăugat in statia pe care doream sa o accesez - ALTA DECAT SERVERUL OPENVPN !!! - ruta următoare:

route ADD -p 10.8.0.0 MASK 255.255.255.0 192.168.5.10 METRIC 40

(unde: 10.8.0.0/24 este range-ul pe care il aloca serverul de OpenVPN clienților ce se conectează la el, iar 192.168.5.10 este serverul de OpenVPN ce rulează pe o stație de Win10

METRIC-ul l-am folosit pentru ca vroiam ca rutele sa fie procesate intr-o anumita ordine (am mai multe)
ICMP-ul este filtrat by default de statia la care vreti sa ajungeți se aia face fail ....
Firewall-ul statiilor ce se conecteaza trebuie si el configurat ca sa permita traficul (la început il puteti opri insa nu uitati sa il configurați corect)
pe OpenVPN Server am rulat ca si administrator:

Set-NetIPInterface -Forwarding Enabled

Edited by Mihai_3, 23 August 2021 - 14:51.