Нет доступа в интернет при переключении redirect-gateway в конфигурации клиента OpenVPN.

У меня есть маршрутизатор с IP 192.168.1.1 и подсетью 192.168.1.0/24.

В этой подсети NAS Synology имеет IP 192.168.1.181 и запускает VPN-сервер, используя подсеть 192.168.2.0/24.

Когда я подключаю клиента к этому серверу из-за пределов обеих сетей, мне назначается 192.168.2.6. С этого клиента я могу пинговать машины в 192.168.1.0/24 (например, 192.168.1.17 и 192.168.1.181) и 192.168.1.1 и 192.168.2.1.

С машин, которые уже находятся в 192.168.1.0/24, я могу пинговать VPN-клиента (192.168.2.6) после добавления статического маршрута route add 192.168.2.0 mask 255.255.255.0 192.168.1.181 (Windows).

До добавления строки redirect-gateway в конфигурацию клиента я мог бы выйти в интернет через VPN, но не мог получить доступ к локальным веб-сервисам, таким как служба маршрутизатора или веб-сервис NAS Synology (запущенный в пределах 192.168.1.0/24). Я думал, что это может быть потому, что внешний IP (whatmyip.org) от VPN-клиента показывал тот же внешний адрес, как если бы я не был подключен к VPN.

После добавления строки redirect-gateway в конфигурацию клиента я убедился, что у меня был правильный внешний IP (совпадает с внешним IP клиентов 192.168.1.0/24), когда я был подключен, но не мог получить доступ к внешним сайтам (google.com), но мог получить доступ к внутренним веб-сервисам (192.168.1.1 и 192.168.1.181).

Что я упускаю?

Странное наблюдение, не уверен почему, но клиент (192.168.2.6) получает DHCP и шлюз-сервер 192.168.2.5, который, насколько я знаю, ничто не существует. Я не могу его пинговать. 192.168.2.1 определенно VPN-сервер, и я могу получить доступ к его веб-сервису (192.168.1.181 в 192.168.1.0/24).

Подключенный клиент ipconfig /all:

Description . . . . . . . . . . . : TAP-Windows Adapter V9
DHCP Enabled. . . . . . . . . . . : Да
Autoconfiguration Enabled . . . . : Да
IPv4 Address. . . . . . . . . . . : 192.168.2.6(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Lease Obtained. . . . . . . . . . : Четверг, 13 августа 2015 11:55:43 AM
Lease Expires . . . . . . . . . . : Пятница, 12 августа 2016 11:55:42 AM
Default Gateway . . . . . . . . . : 192.168.2.5
DHCP Server . . . . . . . . . . . : 192.168.2.5
DNS Servers . . . . . . . . . . . : 192.168.2.1
NetBIOS over Tcpip. . . . . . . . : Включено

Вы должны убедиться, что у вашего маршрутизатора есть выходная NAT-запись для сети VPN 192.168.2.0/24 и установлен DNS.

Смотрите здесь: https://openvpn.net/index.php/open-source/documentation/howto.html

Вы должны перенаправить шлюз: push "redirect-gateway def1"

Убедитесь, что у клиента настроен DNS, или отправьте его через openVPN, используя push "dhcp-option DNS x.x.x.x"

Заключительный шаг, как отмечено выше, заключается в том, что ваш маршрутизатор должен быть настроен на выходящий NAT для сети VPN, в противном случае вы не получите доступ в интернет.

Две основные проблемы:

1. Вы уже обнаружили, и это возвратный маршрут. Он должен быть добавлен не только в одну систему, но и в ваш маршрутизатор.

2. Возможно, вам также нужно добавить вторую внутреннюю сеть в ваш NAT-список.

Другой вариант — сконфигурировать Synology для NAT-передачи VPN-трафика внутри сети, так что трафик для публичного интернета будет выглядеть так, будто он исходит от Synology, но вы не сможете легко получить доступ к сервисам на IP VPN с вашей локальной сети. Укажите бренд вашего маршрутизатора, или, если возможно, переместите конфигурацию OpenVPN на маршрутизатор для более простой настройки.