r13

Актуальная 2.12 на сервере и релизная 2.11 на клиенте стоят.

Собрал стенд, воспроизвел инструкцию. Все работает. Сети за сервером и клиентом доступны друг другу. Сеть сервера 192.168.255.0/24 Сеть клиента 192.168.4.0/24 Конфиг на сервере: topology subnet server 10.8.1.0 255.255.255.0 client-to-client client-config-dir /storage/ccd route 192.168.4.0 255.255.255.0 push "route 192.168.255.0 255.255.255.0" push "route 192.168.4.0 255.255.255.0" CCD на сервере: iroute 192.168.4.0 255.255.255.0

Можно почитать тут:

Это особенность ndm. правила iptables часто пересоздаются. Надо свои правила в хук сккрипты вносить, чтобы тоже пересоздавались.

Проброс должен работать в любом случае и сейчас, просто ответы уходят через основной интерфейс.

Решение было предложено во 2м посте

Это да, в какой-то степени эту доработку можно считать упрощением настройки.

Возможно не точно выразился, конечно комбинация route+iroute Во всяком случае openvpn faq рекомендует именно так https://community.openvpn.net/openvpn/wiki/RoutedLans

Т е попадания в основную таблицу маршрута до клиента через команду route не достаточно? Ок попробую на досуге.

Посмотрим конечно в следующем драфте, но iroute вроде как и не должен ничего добавлять в основную таблицу. route в основном конфиге. добавляет записи во внешнюю таблицу маршрутизации( добавляем route со всеми клинтскими сетями в основной конфиг) push route передает маршруты клиентам ( также в основной конфиг push route со всеми сетями включая серверную) iroute в ccd он обеспечивает внутреннюю маршрутизацию(привязку сетей к клинтам) а также препятствует передаче на клинта маршрута из команды. push route совпадающего с iroute. Помоему так.

Сама флешка не нужна, просто раздел storage есть только на устройствах с usb

@Le ecureuil А что изменилось? Эти манипуляции можно и сейчас проделать, я во всяком случае iroute в таком варианте испытывал.

Вся тема, если вы первый пост скрываете.

https://forum.keenetic.net/announcement/4-как-правильно-добавить-self-test-и-прочую-отладку-в-тему/

роутинг?! https://community.openvpn.net/openvpn/wiki/RoutedLans Ну и firewall на сервере тоже можно глянуть.

@Алексей Сысоев А сервер случаем не натит? Проверьте iptables на сервере.

Не, надо будет no ip nat Home И потом отдельно настраивать нат для пар интерфейсов для для которых он нужен через ip static

С выборочным отключением nat сложнее, почитайте вот эту тему, там предложено решение.

Это есть, в новом веб все привязывается.

Предположу что alg при работе на не стандартном порту не работает.

Да, для начала поковырять маршрутизацию, ЗЫ есть тема в которой у человека это не завелось, но пока не понятно проблема с настройками или с кинетиком.

Нужно разрешить доступ на интерфейсе OpenVPN0. Для простоты для начала для всего протокола IP Вы же разрешили только фактически OpenVPN внутри OpenVPN То что на первом скрине убрать. Лишнее, так как у вас клиент на кинетике. На втором поменять на доступ по протоколу ip для всех.(Здесь вы определяете какой трафик разрешен внутри туннеля)

@Алексей Сысоев в firewall кинетика доступ по openvpn интерфейсу открыли?

@MDP FYI Так что с пулом Vitualip надо быть осторожней, а так да, похоже 1 адрес пуле лишний