не понимаю как соединить клиента Openvpn и внутреннюю сеть

[romans]

решил разобраться с zentyal 3, импонирует простота настройки. собственно интересует VPN, pptp осилил, решил покорить OPENVPN, наконец понял откуда сертификаты берутся....
настроил, настроил впн, в итоге работает, но не понимаю как пустить трафик из сети впн клиента в мою локальную сеть
сервер zentyal внешний ip 192.168.1.104, шлюз 1.1, dhcp
внутренний (eth1) 10.1.1.83, впн 192.168.160.1
пинг и соответсвенно все, идет до сервера от впн клиента на 192.168.160.0/24, на 192.168.1.0/24, а из сети адресов 10.1.1.0 только на  10.1.1.83, а хочется и на 10.1.1.5 и на 10.1.1.17......
в админке прописать статический маршрут  сеть 10.1.1.0/32 и шлюз 192.168.160.1 не получается - маршрут не достижим
подскажите что сделать?

[mravil]

Вопрос не раз обсуждался. Для начала добавить сеть 10.1.1.0/24 в Advertised networks. Затем прописать правило в Filtering rules from external networks to internal networks, разрешающее сети 192.168.160.0/24 ходить в сеть 10.1.1.0/24, так как VPN сеть для Zentyal считается внешней.

[romans]

спасибо за помощь.... сеть 10.1.1.0 сидит в свойствах впн сервера - openVPN-eth1-10.1.1.0-24
что прописать в файрволле? есть вроде предопределенные параметры но они кракозябрами написаны...
прописал в Filtering rules from external networks to internal networks 2 правила:
1 10.1.1.0/32    192.168.160.0/24    all    1-10000(порты)
2 10.1.1.0/32    192.168.160.0/24    all    1-10000
но ни пинга ни доступа
попробовал открыть фтп, но тоже эффекта нет 192.168.160.0/32    10.1.1.0/32    FTP    --

[mravil]

10.1.1.0/32 - 32разрядный префикс указывает на единичную машину в сети, для указания сети класса С необходимо указывать 24разрядный префикс. То бишь, 10.1.1.0/24

[romans]

во-общем сделал правфила фильтрации
192.168.160.0/24    Any    1x    --    (порты с 1 по 10000)
192.168.160.0/24    Any    FTP    --
192.168.160.0/24    Any    ÃƒÂƒÃ‚ƒÃ‚ƒÃ‚ƒÃ‚Ã‚›Ã‘ŽÐ±Ð¾Ð¹

при попытке создать правило any-any мне сообщили что есть предопределенное правило АААААААААААААААА1 (примерно), его и добавил, думаю правило где много АААААА  примерно соответсвует портам 1 -10000, в нужном мне диапазоне
дополнительно добавил 21 порт, для теста
сохранился - пинга во внутреннюю сеть нет, перезагрузился пинга во внутреннюю сеть нет

может еще что распотрошить?

[mravil]

Ну тут извини. У меня нет такого словаря, который перевел бы это... А если без шуток, то желательно Zentyal ставить с английской локализацией, а уж потом выбирать русский язык, если таковой необходим

[romans]

пойду дисковод присоединять....

[romans]

переустановил на английский, настроил впн, клиенты подключаются, во внутреннюю сеть доступа нет (10.1.1.0, кроме своего Ip), во внешнюю (192.168.1.0) тоже нет, а был до переустановки
теперь в Advertised networks не было сети автоматически, я добавил 10.1.1.0
сеть eth0 по dhcp 10.1.1.83
       eth1 stat 192.168.1.104
правила файрвола такие:
ACCEPT    10.1.1.0/24    Any    Any    все на 160    
ACCEPT    192.168.160.0/24    Any    Any    все на 10
теперь все пишутся буквы корректно
маршрутизация на клиенте
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.2.1   192.168.2.103       20
         10.1.1.0    255.255.255.0    192.168.160.1   192.168.160.2       1
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.2.0    255.255.255.0    192.168.2.103   192.168.2.103       20
    192.168.2.103  255.255.255.255        127.0.0.1       127.0.0.1       20
    192.168.2.255  255.255.255.255    192.168.2.103   192.168.2.103       20
    192.168.160.0    255.255.255.0    192.168.160.2   192.168.160.2       30
    192.168.160.2  255.255.255.255        127.0.0.1       127.0.0.1       30
  192.168.160.255  255.255.255.255    192.168.160.2   192.168.160.2       30
        224.0.0.0        240.0.0.0    192.168.2.103   192.168.2.103       20
        224.0.0.0        240.0.0.0    192.168.160.2   192.168.160.2       30
  255.255.255.255  255.255.255.255    192.168.2.103   192.168.2.103       1
  255.255.255.255  255.255.255.255    192.168.160.2   192.168.160.2       1
Основной шлюз:         192.168.2.1

во внутр сеть доступа нет, добавил в Advertised networks сеть 192.168.1.0/24, появился доступ в сеть , например на 192.168.1.100

потом проверил действия правил файрвола, собственно cменил на DENY сначала 10.1.1.0/24 - пинг как шел та и шел, потом запретил 192.168.160.0/24,  эффекта есть - кончился пинг на сеть 192.168.1.0
вывод файрвол в сет 10.1.1.0 не рулит
а рулит добавление сети в Advertised networks, если не добавлять сеть 10.1.1.0, то не пингуется адрес 10.1.1.83(зентиал)
почему не идет трафик во внутреннюю сеть дальше?

опять я потерялся в направлении что делать....

[mravil]

Нарисуйте схему сети, с указанием какие интерфейсы внешние, какие внутренние... тут я уже запутался...

[romans]

вот схема со стороны сервера Zentyal

[mravil]

Ого! Как все замудрено... Zentyal в демилитаризованной зоне у роутера?
В Advertised networks прописать сеть 10.1.1.0/24. Создать правило Filtering rules from external networks to internal networks такое как я описывал выше:

Code: [Select]

Decision: Accept
Source: 192.168.160.0/24
Destination: 10.1.1.0/24
Service: Any
Description: OpenVPN


[romans]

добавил в файрволе такое правило 192.168.160.0/24 на 10.1.1.0/24 а до этого было 192.168.160.0/24 на any
доступа по прежнему нет.
роутер не в dmz.

[romans]

если у клиента в сети 10.1.1.0 прописать шлюзом адрес зентиала 10.1.1.83 то весь трафик отлично бегает
получается на зентиале нужно добавить статический маршрут?

[mravil]

Если нужно из сети подключаться к клиенту OpenVPN, то маршрут нужен. От клиента в сеть доступ-то есть?

[romans]

mravil подсказал с маршрутизацией. в моем случае, zentyal  не шлюз, и мне нужно добавлять в ручную маршруты. мне
требовалось добавить маршруты на шлюзе route add -p 192.168.2.0 mask 255.255.255.0 10.1.1.83, на своем компе route add -p 192.168.2.0 mask 255.255.255.0 10.1.1.83 и route add -p 192.168.160.0 mask 255.255.255.0 10.1.1.83 для доступа к сети впн клиента