Я настроил свой USG на подключение к OpenVPN в режиме клиента с помощью следующей команды:
set interfaces openvpn vtun0 config-file /config/openvpn/client.conf
Заголовок конфигурационного файла выглядит так:
client
dev-type tun
proto udp
remote [REMOTE_IP] 1195
resolv-retry infinite
nobind
persist-key
persist-tun
ns-cert-type server
comp-lzo
verb 3
[KEYS]
И я вижу, что соединение устанавливается:
root@USG:/config/openvpn# show interfaces openvpn
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface IP Address S/L Description
--------- ---------- --- -----------
vtun0 10.0.5.218 u/u
Я могу пропинговать IP внутри VPN:
root@USG:/config/openvpn# ping 10.1.5.200
PING 10.1.5.200 (10.1.5.200) 56(84) байт данных.
64 байта от 10.1.5.200: icmp_req=1 ttl=127 время=57.9 ms
64 байта от 10.1.5.200: icmp_req=2 ttl=127 время=57.6 ms
64 байта от 10.1.5.200: icmp_req=3 ttl=127 время=57.6 ms
64 байта от 10.1.5.200: icmp_req=4 ttl=127 время=57.6 ms
--- Статистика ping для 10.1.5.200 ---
4 пакета передано, 4 получено, потеря 0%, время 3004 мс
rtt min/avg/max/mdev = 57.642/57.726/57.950/0.321 мс
Вот маршруты:
root@USG:/config/openvpn# show ip route
Codes: K - маршрут ядра, C - напрямую подключенный, S - статический, R - RIP, O - OSPF, I - ISIS, B - BGP, > - выбранный маршрут, * - маршрут FIB
S>* 0.0.0.0/0 [210/0] via 192.168.1.1, eth0
K>* 10.0.0.0/16 via 10.0.5.217, vtun0
K>* 10.0.5.129/32 via 10.0.5.217, vtun0
C>* 10.0.5.217/32 подключен напрямую, vtun0
K>* 10.1.0.0/16 via 10.0.5.217, vtun0
C>* 127.0.0.0/8 подключен напрямую, lo
C>* 192.168.1.0/24 подключен напрямую, eth0
C>* 192.168.2.0/24 подключен напрямую, eth1
root@USG:/config/openvpn# ip route
default via 192.168.1.1 dev eth0 proto zebra
10.0.0.0/16 via 10.0.5.217 dev vtun0
10.0.5.129 via 10.0.5.217 dev vtun0
10.0.5.217 dev vtun0 proto kernel scope link src 10.0.5.218
10.1.0.0/16 via 10.0.5.217 dev vtun0
127.0.0.0/8 dev lo proto kernel scope link src 127.0.0.1
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.232
192.168.2.0/24 dev eth1 proto kernel scope link src 192.168.2.1
Проблема в том, что ни один из пользователей в LAN не может пропинговать или получить доступ к каким-либо IP внутри VPN.
set interfaces openvpn vtun0 config-file /config/openvpn/client.conf
Заголовок конфигурационного файла выглядит так:
client
dev-type tun
proto udp
remote [REMOTE_IP] 1195
resolv-retry infinite
nobind
persist-key
persist-tun
ns-cert-type server
comp-lzo
verb 3
[KEYS]
И я вижу, что соединение устанавливается:
root@USG:/config/openvpn# show interfaces openvpn
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface IP Address S/L Description
--------- ---------- --- -----------
vtun0 10.0.5.218 u/u
Я могу пропинговать IP внутри VPN:
root@USG:/config/openvpn# ping 10.1.5.200
PING 10.1.5.200 (10.1.5.200) 56(84) байт данных.
64 байта от 10.1.5.200: icmp_req=1 ttl=127 время=57.9 ms
64 байта от 10.1.5.200: icmp_req=2 ttl=127 время=57.6 ms
64 байта от 10.1.5.200: icmp_req=3 ttl=127 время=57.6 ms
64 байта от 10.1.5.200: icmp_req=4 ttl=127 время=57.6 ms
--- Статистика ping для 10.1.5.200 ---
4 пакета передано, 4 получено, потеря 0%, время 3004 мс
rtt min/avg/max/mdev = 57.642/57.726/57.950/0.321 мс
Вот маршруты:
root@USG:/config/openvpn# show ip route
Codes: K - маршрут ядра, C - напрямую подключенный, S - статический, R - RIP, O - OSPF, I - ISIS, B - BGP, > - выбранный маршрут, * - маршрут FIB
S>* 0.0.0.0/0 [210/0] via 192.168.1.1, eth0
K>* 10.0.0.0/16 via 10.0.5.217, vtun0
K>* 10.0.5.129/32 via 10.0.5.217, vtun0
C>* 10.0.5.217/32 подключен напрямую, vtun0
K>* 10.1.0.0/16 via 10.0.5.217, vtun0
C>* 127.0.0.0/8 подключен напрямую, lo
C>* 192.168.1.0/24 подключен напрямую, eth0
C>* 192.168.2.0/24 подключен напрямую, eth1
root@USG:/config/openvpn# ip route
default via 192.168.1.1 dev eth0 proto zebra
10.0.0.0/16 via 10.0.5.217 dev vtun0
10.0.5.129 via 10.0.5.217 dev vtun0
10.0.5.217 dev vtun0 proto kernel scope link src 10.0.5.218
10.1.0.0/16 via 10.0.5.217 dev vtun0
127.0.0.0/8 dev lo proto kernel scope link src 127.0.0.1
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.232
192.168.2.0/24 dev eth1 proto kernel scope link src 192.168.2.1
Проблема в том, что ни один из пользователей в LAN не может пропинговать или получить доступ к каким-либо IP внутри VPN.