https://opennet.ru/openforum/vsluhforumID1/96150.html На Windows 7 установлен сервер Open VPN.<br><br>Конфигурация:<br><br>dev tap<br>dev-node "vpn"<br>proto tcp-server<br>port 1194<br>server-bridge 10.8.0.0 255.255.255.0 10.8.0.1 10.8.0.50<br>push "route 172.16.0.254 255.255.0.0"<br>push "dhcp-option DNS 172.16.0.1"<br>push "dhcp-option DNS 172.16.0.2"<br>route 172.16.0.0 255.255.0.0<br>push "redirect-gateway def1 bypass-dhcp"<br>ca ca.crt<br> cert server.crt<br> key server.key <br> dh dh1024.pem<br>comp-lzo<br>cipher AES-128-CBC<br>tls-server<br>server-bridge<br>max-clients 50<br>client-to-client<br>persist-key<br>persist-tun<br>duplicate-cn<br>keepalive 10 120<br><br>интерфейсы на сервере следующие:<br>WAN (смотрим в интернет)<br>192.168.1.25/255.255.255.0 192.168.1.1<br>LAN (смотрит в локальную доменную сеть)<br>172.16.24.50/255.255.0.0 172.16.0.254<br>VPN (собственно интерфейс сервера VPN)<br>Включен DHCP.<br><br>Клиент под windows подключается, получает IP, но в корпоративную сеть не попадает. Подскажите где ошибка.<br>Брадмауэры выключены. Ошибок со стороны сертификатов нет (подключается же ))))<br><br> https://opennet.ru/openforum/vsluhforumID1/96150.html#15 Sat, 30 May 2015 07:16:36 GMT &gt;&gt; ПУСК -&gt; Выполнить -&gt; regedit.exe <br>&gt;&gt; Заходишь в ветку -&gt; HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters <br>&gt;&gt; Находишь параметр и меняешь его значение: <br>&gt;&gt; IpEnableRouter типа REG_DWORD значение 1 <br>&gt; Сори, не то написал) <br><br>то-не то, но мысль как бы верная, однако не поможет, т.к. впн-сервер не является маршрутизатором для подсети.<br> https://opennet.ru/openforum/vsluhforumID1/96150.html#14 Sat, 30 May 2015 04:32:21 GMT &gt; ПУСК -&gt; Выполнить -&gt; regedit.exe <br>&gt; Заходишь в ветку -&gt; HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters <br>&gt; Находишь параметр и меняешь его значение: <br>&gt; IpEnableRouter типа REG_DWORD значение 1 <br><br>Сори, не то написал)<br> https://opennet.ru/openforum/vsluhforumID1/96150.html#13 Sat, 30 May 2015 04:00:14 GMT ПУСК -&gt; Выполнить -&gt; regedit.exe<br><br>Заходишь в ветку -&gt; HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters<br><br>Находишь параметр и меняешь его значение:<br><br>IpEnableRouter типа REG_DWORD значение 1<br> https://opennet.ru/openforum/vsluhforumID1/96150.html#12 Fri, 29 May 2015 07:09:39 GMT &gt;ну ошибся когда адреса писал тут...<br><br>А откуда нам знать, где вы ошиблись? В конфиге или "тут"?<br><br>&gt;Убрал я лишнее подключение, пробросил порт 1194 на unix'е...<br><br>А зачем это было сделано - можете объяснить?<br><br>Принципов маршрутизации вы не понимаете совсем.<br><br>Еще в первом комментарии написали, в чем у вас проблема.<br><br>У неё есть два решения: <br><br>1) прописать правильную маршрутизацию <br><br>или<br><br>2) убрать маршрутизацию совсем - т.е. сделать бридж _без_ маршрутизации<br><br>Перечитайте тему полностью, а также ссылки, которые в ней дали.<br>Возьмите листик и карандашик, и нарисуйте, как какие пакеты будут бегать, туда и обратно, и задумайтесь _почему_ они _должны_ так бежать, как вы думаете.<br><br> https://opennet.ru/openforum/vsluhforumID1/96150.html#11 Fri, 29 May 2015 06:59:08 GMT &gt; Я вообще думаю, что ТС занимается чем-то "официально не разрешенным".<br>&gt; Нормальный админ настроил бы это всё на имеющемся *никсе, а не собирал <br>&gt; бы себе приключений от десктопной оси. Бридж на вин 7 .... <br>&gt; Мне такое в голову еще ни разу не приходило.<br><br>Я понимаю стеб, ну ошибся когда адреса писал тут...<br><br>Убрал я лишнее подключение, пробросил порт 1194 на unix'е...<br><br>Конфигурация в данный момент следующая:<br><br>ADSL (192.168.1.1) - &gt; Unix (192.168.1.254 / 172.16.0.254) - &gt; сеть предприятия<br><br>VPN сделал так:<br><br>vpn (192.168.137.1)<br>lan (172.16.0.50)<br><br><br>конфига сервера<br><br>dev tap<br>dev-node "vpn"<br>proto tcp-server<br>port 1194<br>ifconfig 192.168.137.1 255.255.255.0<br>server-bridge 192.168.137.1 255.255.255.0 192.168.137.2 192.168.137.254<br>push "route 172.16.0.0 255.255.0.0"<br>push "dhcp-option DNS 172.16.0.1"<br>push "dhcp-option DNS 172.16.0.2"<br>route 172.16.0.0 255.255.0.0<br>push "redirect-gateway def1 bypass-dhcp"<br>ca ca.crt<br> cert server.crt<br> key server.key <br> dh dh1024.pem<br>comp-lzo<br>cipher AES-128-CBC<br> https://opennet.ru/openforum/vsluhforumID1/96150.html#10 Wed, 27 May 2015 03:22:02 GMT Я вообще думаю, что ТС занимается чем-то "официально не разрешенным". <br>Нормальный админ настроил бы это всё на имеющемся *никсе, а не собирал бы себе приключений от десктопной оси. Бридж на вин 7 .... Мне такое в голову еще ни разу не приходило.<br> https://opennet.ru/openforum/vsluhforumID1/96150.html#9 Wed, 27 May 2015 03:15:57 GMT &gt; Вы назначили на vpn сеть часть адресов из своей локальной сети (маска <br>&gt; /16), <br>&gt; это значит, что ваша vpn сеть не роутиться, а хосты обнаруживают адрес <br>&gt; назначения путем широковещательных рассылок. <br><br>ТС не определился еще с тем, какие у него адреса.<br><br>В конфиге, приведенном в первом сообщении темы, вообще указано:<br><br>server-bridge 10.8.0.0 255.255.255.0 10.8.0.1 10.8.0.50<br><br>&gt;для того чтобы это работало - надо чтобы интерфейс vpn находился в бридже <br>&gt; с физическим адаптером сети подключенным к вашей локальной сети.<br><br>У него "шлюз предприятия" с одним айпишником, "ДМЗ", в которой VPN-сервер подключен к локалке напрямую, а еще имеет WAN .... Абсолютная жесть.<br><br>------------<br><br>ТС, определись с тем, какие адреса впнщикам выдавать будешь.<br> https://opennet.ru/openforum/vsluhforumID1/96150.html#8 Tue, 26 May 2015 18:46:21 GMT &gt;&gt;&gt; А можете подсказать в рамках указанной конфигурации - что и куда прописать?<br>&gt;&gt; В рамках указанной конфигурации - никто ничего не подскажет.<br>&gt;&gt; Прописывать надо за её пределами.<br>&gt;&gt; Нарисуйте полную схему вашей сети.<br>&gt; ADSL модем (192.168.1.1) ---- &gt; Unix (Шлюз предприятия 172.16.0.254) -----&gt; Сеть предприятия <br>&gt; (172.16.х.х/255.255.0.0) <br>&gt; Сервер VPN вынес в ДМЗ.<br>&gt; ADSL модем (192.168.1.1) ---- &gt; VPN сервер (WAN 192.168.1.1 LAN 172.16.24.50 VPN <br>&gt; 172.16.100.1) -----&gt; Сеть предприятия (172.16.х.х/255.255.0.0) <br><br>Вы нечто подобное, когда настраивали сервер делали?<br>http://www.pavelec.net/adam/openvpn/bridge/<br><br>Вы назначили на vpn сеть часть адресов из своей локальной сети (маска /16),<br>это значит, что ваша vpn сеть не роутиться, а хосты обнаруживают адрес назначения путем широковещательных рассылок. для того чтобы это работало - надо чтобы интерфейс vpn находился в бридже с физическим адаптером сети подключенным к вашей локальной сети.<br> https://opennet.ru/openforum/vsluhforumID1/96150.html#7 Tue, 26 May 2015 17:50:38 GMT &gt;&gt;&gt; А можете подсказать в рамках указанной конфигурации - что и куда прописать?<br>&gt;&gt; В рамках указанной конфигурации - никто ничего не подскажет.<br>&gt;&gt; Прописывать надо за её пределами.<br>&gt;&gt; Нарисуйте полную схему вашей сети.<br>&gt; ADSL модем (192.168.1.1) ---- &gt; Unix (Шлюз предприятия 172.16.0.254) -----&gt; Сеть предприятия <br>&gt; (172.16.х.х/255.255.0.0) <br>&gt; Сервер VPN вынес в ДМЗ.<br>&gt; ADSL модем (192.168.1.1) ---- &gt; VPN сервер (WAN 192.168.1.1 LAN 172.16.24.50 VPN <br>&gt; 172.16.100.1) -----&gt; Сеть предприятия (172.16.х.х/255.255.0.0) <br><br>Мне не хочется ломать голову над этой подробной и понятной схемой.<br><br>PS&gt; не заработает, т.к. 192.168.1.1 и на ADSL-модеме и на VPN-сервере.<br><br>PPS кто такой ДМЗ ... савсем его не знаю....<br>