Объединить сеть офиса и удаленные компы в одну сеть через OpenVPN(+bridge)

@KMSNasgool · Регистрация: 17.12.2013

Студворк — интернет-сервис помощи студентам

Задача:
Объединить сеть офиса и удаленные компы в одну сеть с единым адресным пространством.
Решил поднять на шлюзе OpenVPN сервер на Ethernet bridging.

Начал с моделирования под Hiper-V:
Создал виртуальный свич, изолированный от внешних адаптеров.
Создал виртуальный свич завязанный на реальный адаптер сервера с выходом во внешнюю сеть (сеть офиса).
Поднял тестовую машинку с одним сетевым адаптером и присоединил его к изолированному свичу.
Поднял виртуальный сервер на Ubuntu Server 14/04 LTS с 2мя сетевыми адаптерами.
Он исполняет роль тестового шлюза
eth0 соединил со свичем, имеющим выход в реальную сеть.
eth1 соединил с изолированным виртуальным свичем.
Настроил изолированную сеть на тестовой машинке и на eth1 шлюза (192.168.200.0/255.255.255.0, шлюз 192.168.200.1, тестовая машина 192.168.200.2).
Пакеты ходят прекрасно.
Настроил сеть на eth0 шлюза (указал основным шлюзом офисный шлюз и DNS на DNS офиса).
Со шлюза стало прекрасно видно все сетевые ресурсы офиса и интернета.

Далее на шлюз поствил OpenVPN и bridge-utils, сгенерировал ключи.
Сделал пару скриптов для моста (/etc/openvpn/hmp-up.sh и /etc/openvpn/hmp-down.sh).
Настроил конфиг сервера.
Настроил /etc/network/interfaces.
Настроил раздачу инета во внутрь сети.

Привожу содержимое конфигов:

/etc/network/interfaces

Bash
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
 
# The loopback network interface
auto lo
iface lo inet loopback
 
# The primary network interface
auto eth0
iface eth0 inet static
        address 192.168.7.10
        netmask 255.255.255.0
        network 192.168.7.0
        broadcast 192.168.7.255
        gateway 192.168.7.2
        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers 192.168.7.2
 
auto br0
iface br0 inet static
        bridge_ports eth1
        bridge_fd 0
        address 192.168.200.1
        netmask 255.255.255.0
        network 192.168.200.0
        broadcast 192.168.200.255
 
pre-up iptables-restore < /etc/iptables.up.rules
 
up route add -net 192.168.200.0 netmask 255.255.255.0 dev br0
up route add -net 0.0.0.0 netmask 255.255.255.255 dev eth0

/etc/openvpn/server-hmp.conf

Bash
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
port 1794
proto udp
dev tap0
ca /etc/openvpn/rsa-hmp/keys/ca.crt
cert /etc/openvpn/rsa-hmp/keys/server-hmp.crt
key /etc/openvpn/rsa-hmp/keys/server-hmp.key
dh /etc/openvpn/rsa-hmp/keys/dh2048.pem
server-bridge 192.168.200.1 255.255.255.0 192.168.200.100 192.168.200.199
client-to-client
keepalive 10 60
comp-lzo
persist-key
persist-tun
status openvpn-status-hmp.log
log openvpn-hmp.log
verb 3
push "route 192.168.200.0 255.255.255.0"
up /etc/openvpn/hmp-up.sh
down /etc/openvpn/hmp-down.sh

/etc/openvpn/hmp-up.sh

Bash
1
2
3
4
#!/bin/sh
 
ifconfig tap0 up
brctl addif br0 tap0

/etc/openvpn/hmp-down.sh

Bash
1
2
3
4
#!/bin/sh
 
ifconfig tap0 down
brctl delif br0 tap0

/etc/iptables.up.rules

Bash
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
# Generated by iptables-save v1.4.21 on Fri Feb 26 15:28:35 2016
*nat
:PREROUTING ACCEPT [278:21526]
:INPUT ACCEPT [51:6450]
:OUTPUT ACCEPT [10:674]
:POSTROUTING ACCEPT [54:5475]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Feb 26 15:28:35 2016
# Generated by iptables-save v1.4.21 on Fri Feb 26 15:28:35 2016
*filter
:INPUT ACCEPT [28:2069]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [15:2049]
-A INPUT -i tap0 -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A FORWARD -m physdev --physdev-is-bridged -j ACCEPT
-A FORWARD -i br0 -j ACCEPT
COMMIT
# Completed on Fri Feb 26 15:28:35 2016

Настроил клиента и кинул ключики (реальная машинка в офисе).
Подключение происходит без ошибок.
Получаю IP 192.168.200.100
Прекрасно пингую шлюз по внутреннему адресу (192.168.200.1), шлюз пингует меня.
Та же история между тестовой машинкой и шлюзом (192.168.200.2 <--> 192.168.200.1).

Но вот связи между мной и тестовой машиной нет.
Как и нет связи по OpenVPN от тестовой машины до меня.
Т.Е.
1) Нет пинга на тестовой машине до 192.168.200.100
2) Нет пинга на моей машине до 192.168.200.2
В обоих случаях говорит узел не доступен
Сетевые экраны выключены.

Подскажите куда копать?

Добавлено через 21 минуту
Во еще конфиг клиента:

C:\Program Files\OpenVPN\config\client.ovpn

Bash
1
2
3
4
5
6
7
8
9
10
11
client
dev tap0
proto udp
remote 192.168.7.10 1794
persist-key
persist-tun
ca "C:\\Program Files\\OpenVPN\\config\\keys_hmp\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\keys_hmp\\client.crt"
key "C:\\Program Files\\OpenVPN\\config\\keys_hmp\\client.key"
comp-lzo
verb 3

Добавлено через 2 минуты
P.S.
На клиенте Windows.
Сетевой адаптер OVPN переименован в tap0

@cherriod · 10.03.2016, 11:19

Форвардинг не забыл?

Сообщение от http://itblog.su/vklyuchaem-ip-forwarding-v-linux.html

Проверить включен ли IP Forwarding можно так:

Bash
1
2
sysctl net.ipv4.ip_forward
cat /proc/sys/net/ipv4/ip_forward

Включить можно так (действовать будет до перезагрузки):

Bash
1
sysctl -w net.ipv4.ip_forward=1

или

Bash
1
echo 1 > /proc/sys/net/ipv4/ip_forward

Или жётско включить (действовать будет и после перезагрузки):

Bash
1
2
# grep forward /etc/sysctl.conf
net.ipv4.ip_forward = 1

В RedHat подобных:

Bash
1
2
# grep -i forward /etc/sysconfig/network
FORWARD_IPV4=true

в Debian (Ubuntu):

Bash
1
2
# grep -i forward /etc/network/options
ip_forward=yes

После правки конфигов (перманентное включение) необходимо перезапустить сеть. например,

Bash
1
/etc/init.d/network restart

Note that: В OpenVPN используется первый способ (изменение на лету), это прописано в стартап

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Синхронизация спрайтов SDL3 и тел Box2D 8Observer8 04.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-sync-physics-sprites-sdl3-c. zip На первой гифке отладочные линии отключены, а на второй включены:. . .	SDL3 для Web (WebAssembly): Идентификация объектов на Box2D v3 - использование userData и событий коллизий 8Observer8 02.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-collision-events-sdl3-c. zip https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11680&d=1772460536 Одним из. . .	Реалии Hrethgir 01.03.2026 Нет, я не закончил до сих пор симулятор. Эта задача сложнее. Не получилось уйти в плавсостав, но оно и к лучшему, возможно. Точнее получалось - но сварщиком в палубную команду, а это значит, в моём. . .	Ритм жизни kumehtar 27.02.2026 Иногда приходится жить в ритме, где дел становится всё больше, а вовлечения в происходящее — всё меньше. Плотный график не даёт вниманию закрепиться ни на одном событии. Утро начинается с быстрых,. . .
SDL3 для Web (WebAssembly): Сборка библиотек: SDL3, Box2D, FreeType, SDL3_ttf, SDL3_mixer и SDL3_image из исходников с помощью CMake и Emscripten 8Observer8 27.02.2026 Недавно вышла версия 3. 4. 2 библиотеки SDL3. На странице официальной релиза доступны исходники, готовые DLL (для x86, x64, arm64), а также библиотеки для разработки под Android, MinGW и Visual Studio. . . .	SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .	Конвертировать закладки radiotray-ng в m3u-плейлист damix 19.02.2026 Это можно сделать скриптом для PowerShell. Использование . \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json> Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом. # Check if. . .	Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .