Opet to OpenVPN a problem s routovanim do vnitrni site

[zdenal]

ahoj.
server ma rozhrani eth0, eth1 a tap0. Eth0 je pro internet, eth1 pro pripojeni do vnitrni site, tap0 pro vpn.Ip na serveru jsou nasledujici: eth0(10.94.1.128), eth1(172.16.0.170) a tap0(10.123.1.1)
Ve vnitrni siti(172.16.0.160/27) se nachazi router(172.16.0.190/27), sit vpn je 10.123.1.0/28. POkud se na server pripojim, dostanu ip adresu(10.123.1.2), jsem ve vpn a na server se dopingam. DOpingam se i na jeho rozhrani vnitrni site(eth1),dopingam se i na router ve vnitrni siti. Na ostatni PC ve vnitrni siti se nedopingam.V nastaveni routeru mam pridanou statickou trasu s cilem 10.123.1.0/28 aby predaval na vnitrni rozhrani serveru(eth1 172.16.0.170/27).. v podstate z opacne strany to prochazi(ale opet jen z routeru)

Chtěl jsem do serveru pridat statickou routu pro tap0, aby kdyz bude cil 172.16.0.160/27 to predal na 172.16.0.170(resp. eth1). To ale nejde a system mi hlasi rtnetlink answer: no such process.
Zkoušel jsem i upravovat iptables pro eth1 s tap0 a opacne.. + cil/zdroj 172.16.0.160/27 a 10.123.1.0/28 a opacne. Bez uspechu. Zajimave ale je, ze v okolnich pocitacich obcas vidim jednu stanici z vnitrni site (domen.jmeno), ale nedopingam se. Na router jak jsem psal se dopingam, ale na jeho webove  rozhrani se nedostanu.
Pokud zkousim pingat z web. rozhrani routeru z jineho pc, tak do tunelu ping funguje (takze to musi prochazet).
Ping funguje i mezi VPN klienty.

Chybu bych hledal nekde na  serveru, jelikoz kdyz pouziji tracert, tak do vnitrni site to jde skrz 10.123.1.1(tap0 na serveru), ale dale na router ve vnitrni siti uz ne(172.16.0.190).

Podotykam, ze jsem linuxova lama. Na pocitacich je jinak ping povoleny (overeno).

Mohl by mi prosim nekdo pomoci vyresit tento problem se smerovanim (nebo co je potreba) ? Prikladam konfigurak serveru a klienta. Na serveru je Ubuntu.

Dekuji za jakoukoliv radu a omlouvam se za mozna zbytecne tema. Hledal jsem a zkousel ruzne postupy, ale bez vysledku.

[attachment deleted by admin]

[RNA]

Podívejte se na to očima toho počítače ve vnitřní síti za serverem VPN, na který se nedopingáte On musí vědět, kam odpovědět, když mu přijde paket z té VPN. Tedy na těch všech počítačích musíte nastavit, že když je IP paketu  10.123.1.0/28, tak to má poslat na bránu 172.16.0.190.
Teda, jestli jsem to dobře pochopil, jak to máte poskládané.
Nutnost nastavení na všech počítačích vnitřní sítě se dá obejít, pokud můžete konfigurovat stroj, na kterém je jinak normálně  výchozí brána. To routovací pravidlo nastavíte na něm. Jenom ten paket poběží po vnitřní síti dvakrát navíc, což není žádná tragédie. 

[zdenal]

Ano- konfiguroval jsem "stroj, na kterém je výchozí brána. Tzn. do domácího routeru jsem přidal trasu, přesně to co píšete.
Při použití tracert se mi nevrací odpověď za routerem, resp. posl. odpověd z routeru (172.16.0.190). Pokud použiji web. rozhraní routeru, kde je možnost tracert/ping... tak z něho do VPN to normálně funguje.

Chybu bych stále hledal na tom linuxovém stroji, který obstarává vpn a vstup do vnitřní sítě. Na windows 2008 server to fungovalo a měl jsem to udělané stejně + přidané statické routy. Tady mi to to píše hlášku (viz. můj první příspěvek).

Přeci, i když počítače ve vnitřní síti neví, kde je VPN.. pošlou to na výchozí bránu(172.16.0.190), který má v routovací tabulce, že to má odeslat na vnitřní rozhraní linuxového serveru(172.16.0.170).
Děkuji za rady, jsem z toho už zoufalej.

[RNA]

....Přeci, i když počítače ve vnitřní síti neví, kde je VPN.. pošlou to na výchozí bránu(172.16.0.190), který má v routovací tabulce, že to má odeslat na vnitřní rozhraní linuxového serveru(172.16.0.170).

No, já bych to poslal ne na 172.16.0.170, ale na 10.123.1.1.

[RNA]

Eh, to ne, to je blbost, špatně jsem si to přečetl. Ale mám to nastavené prakticky stejným způsobem, a chodí mi to.

Jo, a co je tohle
local 10.94.1.134

ve Vašem configu na serveru?

[zdenal]

10.94.1.134 je rozhraní eth0(v podstate wan) na server, toto rozhraní je u poskytovatele natováno na veřejnou ip adresu-pres ni přistupuji zvenčí do vpn.
V domácím routeru je nastavena static route s cílem 10.123.1.0/28, že je brána 172.16.0.170. tudíž do zmíněné sítě(vpn) přístup přes lan rozhraní serveru. Router mi nedovolí nastavit v podstatě next-hop na ip adresu, která není ve stejném subnetu jako routeru( síť 172.16.0.160/27)

edit:tak mohu zkusit nastavit síť rovnou jako 10.123.1.1/28... přeci podle masky je jasné, jaká je ip adresa sítě a kde je broadcast...