[Sysadmins] ve-openvpn-server _ VS_ school_server

admin931 на rambler.ru admin931 на rambler.ru
Пн Май 11 23:38:40 MSD 2009 

помогите реализовать следующую схему

есть сервер в интернете
ip a.b.c.d - внешний адрес
10.10.10.1 - внутренний адрес смотрит в локалку...
10.10.9.1 - второй внутренний адрес (локалка которой разрешен доступ 
только к порту сервера openvpn)  (DMZ)
сервер VE-openvpn - 10.10.9.13
на порт ВПНа сделан проброс из внешней сети, пользователи DMZ видят его 
и так...

задача чтобы клиенты подключенные к ВПНу видели локальную сеть и все ее  
ресурсы... включая сам сервер т.е. 10.10.10.1
-------------------------------------------------------------------------------------------------------------------------------------------

а вот что было сделано:
---------------------------------------------------------------------------------------------------------------------------------------------
сервер VE настроен и запушен
его IP 10.10.9.13
в него "заброшен" *devnodes net/tun:rw *
вот конфиг OpenVPN сервера:

 >;local a.b.c.d
 >port 1194
 >proto tcp
 >dev tun
 >
 >ca   /etc/openvpn/keys/ca.crt
 >cert /etc/openvpn/keys/server.crt
 >key  /etc/openvpn/keys/server.key  # This file should be kept secret!
 >dh /etc/openvpn/keys/dh1024.pem
 >
 >server 10.10.11.0 255.255.255.0
 >
 >ifconfig-pool-persist ipp.txt
 >;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100 # вроде как 
не нужно для этой схемы
 >
 >push "route 10.10.11.0 255.255.255.0 10.10.11.1"
 >
 >;client-config-dir /etc/openvpn/ccd  # закоментировано так как у всех 
клиентов единые настройки и должны прописываться здесь
 >
 >route 10.10.10.0 255.255.255.240 10.10.11.1 
 >
 >keepalive 10 120
 >comp-lzo
 >persist-key
 >persist-tun
 >status openvpn-status.log
 >verb 3

сейчас с этими настройками возможно лишь подключение к ВПНу
непонимаю
1 какую маршрутизацию передавать/прописывать
2 достаточно ли маршрутизации у клиента для работы по этой схеме

потому что прописав у клиента маршрут  > ip route add 10.10.10.0/24 via 
10.10.11.1 dev tun0
должного результата не поучил...

вот маршрутизация клиента:
 >10.10.9.0/28 dev ath0 proto kernel scope link scr 10.10.9.12
 >10.10.10.0/24 via 10.10.11.1 dev tun0
 >default dev tun0 scope link

ifconfig tun0 клиента:
 >tun0      Link encap:UNSPEC  HWaddr 00-00-00-
 >          inet addr:10.10.11.10  *P-t-P:10.10.11.9*  Mask:255.255.255.255
 >          ВВЕРХ POINTOPOINT RUNNING NOARP MULTICAST  MTU:1412  Metric:1
 >          RX packets:2 errors:0 dropped:0 overruns:0 frame:0
 >          TX packets:139 errors:0 dropped:0 overruns:0 carrier:0
 >          коллизии:0 txqueuelen:100
 >         RX bytes:1152 (1.1 KB)  TX bytes:133852 (130.7 KB)

Подробная информация о списке рассылки Sysadmins