r13

Пинг должен отвечать в любом случае. Без ната жить с помощью роутинга который кстати у вас уже настроен. куда девается ответ на пинги от10.8.0.1 это сейчас основной вопрос. На самом конечном устройстве если пакеты поснимать ответы на эти пинги видны?

OpenVPN не натит поэтому пинги приходят с первого, а если и в кинетике нат отключить, то будут как и положено приходить от непосредсвенного источника.

@Le ecureuil С e3276 все отлично заработало! Спасибо.

@Pablo А какой из адресов пингуете? ЗЫ зачем два линка в одну сеть? ЗЫ2 таки что то на конечных лан клиентах мешается.

Ну тогда просто подождем ближайший драфт и сравните на нем может поправится.

В ccd тоже все ок? По логу при коннекте конфиги из ccd подтягиваются? зы раз хоть до одного устройсва в локалке клиента есть доступ надо смотреть что там в локалке.

Здесь можно только угадывать, если это точно не firewall на конечных устройствах, то еще я бы посмотрел на таблицу маршрутизации на конечных устройствах, ну и пакеты в lan клиентов бы поснимал бы.

Актуальная 2.12 на сервере и релизная 2.11 на клиенте стоят.

Собрал стенд, воспроизвел инструкцию. Все работает. Сети за сервером и клиентом доступны друг другу. Сеть сервера 192.168.255.0/24 Сеть клиента 192.168.4.0/24 Конфиг на сервере: topology subnet server 10.8.1.0 255.255.255.0 client-to-client client-config-dir /storage/ccd route 192.168.4.0 255.255.255.0 push "route 192.168.255.0 255.255.255.0" push "route 192.168.4.0 255.255.255.0" CCD на сервере: iroute 192.168.4.0 255.255.255.0

Можно почитать тут:

Это особенность ndm. правила iptables часто пересоздаются. Надо свои правила в хук сккрипты вносить, чтобы тоже пересоздавались.

Проброс должен работать в любом случае и сейчас, просто ответы уходят через основной интерфейс.

Решение было предложено во 2м посте

Это да, в какой-то степени эту доработку можно считать упрощением настройки.

Возможно не точно выразился, конечно комбинация route+iroute Во всяком случае openvpn faq рекомендует именно так https://community.openvpn.net/openvpn/wiki/RoutedLans

Т е попадания в основную таблицу маршрута до клиента через команду route не достаточно? Ок попробую на досуге.

Посмотрим конечно в следующем драфте, но iroute вроде как и не должен ничего добавлять в основную таблицу. route в основном конфиге. добавляет записи во внешнюю таблицу маршрутизации( добавляем route со всеми клинтскими сетями в основной конфиг) push route передает маршруты клиентам ( также в основной конфиг push route со всеми сетями включая серверную) iroute в ccd он обеспечивает внутреннюю маршрутизацию(привязку сетей к клинтам) а также препятствует передаче на клинта маршрута из команды. push route совпадающего с iroute. Помоему так.

Сама флешка не нужна, просто раздел storage есть только на устройствах с usb

@Le ecureuil А что изменилось? Эти манипуляции можно и сейчас проделать, я во всяком случае iroute в таком варианте испытывал.

Вся тема, если вы первый пост скрываете.

https://forum.keenetic.net/announcement/4-как-правильно-добавить-self-test-и-прочую-отладку-в-тему/

роутинг?! https://community.openvpn.net/openvpn/wiki/RoutedLans Ну и firewall на сервере тоже можно глянуть.

@Алексей Сысоев А сервер случаем не натит? Проверьте iptables на сервере.

Не, надо будет no ip nat Home И потом отдельно настраивать нат для пар интерфейсов для для которых он нужен через ip static