OpenVPN сервер не пускает клиента в интернет

[slydiman]

Сервер OpenVPN на Кинетике v4.3.5 настроен согласно https://help.keenetic.com/hc/ru/articles/360000880359-Клиент-и-сервер-OpenVPN
Клиент OpenVPN (v2.4.0) на роутере Tandem 4GX-6 https://www.micro-drive.ru/products/tandem-4gx-6-3g/4g-router-lte-cat.6/
Там основная настройка OpenVPN через UI, но можно прописывать параметры в advanced.
OpenVPN TUN (L3) точка-точка, соединение есть, устройства из сети Кинетика видят устройства за Tandem 4GX, аналогично устройства за Tandem 4GX видят сеть за Кинетиком.
Не получается направить весь трафик от Tandem 4GX в тоннель.
На Кинетике в таблице маршрутизации есть строка 10.1.0.2/32 gateway 10.1.0.1 interface OpenVPN-srv-my
Если на клиенте (Tandem 4GX) в настройках OpenVPN прописать 

route 0.0.0.0 0.0.0.0

то вообще всё перестаёт работать.
Если на клиенте (Tandem 4GX) в настройках OpenVPN прописать

redirect-gateway def1 bypass-dhcp

то на клиенте появляются 3 маршрута - 0.0.0.0/1 и 128.0.0.0/1 gateway 10.1.0.1 metric 0 interface ovpn и маршрут до сервера через интерфейс модема. Доступ к сети Кинетика всё ещё есть, но доступ в интернет отрубается.

Команда на Кинетике

ip nat 10.1.0.2 255.255.255.255

выполнена и это не помогает.

В статье выше есть такое

Цитата

Примечание

1. Подключенные к серверу клиенты OpenVPN будут отображаться на странице "Список устройств" в списке "Незарегистрированные устройства". Если у вас на странице "Домашняя сеть" в разделе "Профиль доступа для незарегистрированных устройств" выбран профиль "Без доступа в Интернет", то не забудьте зарегистрировать также и OpenVPN-клиентов, если необходимо предоставить им доступ Интернет.

Профиль/политика по умолчанию, то есть доступ в интернет должен быть.
Но вот в списке устройств на Кинетике клиентов OpenVPN не видно.

no isolate-private

прописано. Где чего не хватает? 

Изменено вчера в 18:00 пользователем slydiman

[Le ecureuil]

На сервере нужно сделать (при условии что у интерфейса название OpenVPN0):

interface OpenVPN0 security-level private

ip nat OpenVPN0

 

И затем на клиенте пускайте все через него.

[slydiman]

Увы, но нет.
Замена 
ip nat 10.1.0.2 255.255.255.255
на 
ip nat OpenVPN0
не изменила ничего. Таблица роутинга не изменилась. Поведение тоже.
Скачал конфиг Кинетика перепроверить:

access-list _WEBADMIN_GigabitEthernet1
    permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 1194
    permit description OpenVPN-srv-car
    auto-delete
! 
interface OpenVPN0
    description OpenVPN-srv-car
    role misc
    security-level private
    ip dhcp client dns-routes
    ip access-group _WEBADMIN_OpenVPN0 in
    ip tcp adjust-mss pmtu
    ip name-servers
    openvpn accept-routes
    openvpn connect
    up
!
ip nat OpenVPN0

Для проверки взял ноут, поднял на нём OpenVPN клиент 2.6.х, в конфиге прописал redirect-gateway def1,
подключился из внешки к OpenVPN Кинетика, на клиенте вижу точно такую же таблицу роутинга,
к сети Кинетика доступ есть, а интернета нет.
То есть проблема на стороне Кинетика.
Обновил Кинетик до v4.3.6 - ничего не изменилось.
Если в логах чего и не хватает, то не знаю чего. Всё что там есть вопросов не вызывает.
Куда копать?

PS: На этом же Кинетике поднят ещё WireGuard и клиенты WireGuard без проблем ходят в интернет через Кинетик.

Изменено Воскресенье в 12:20 пользователем slydiman

[slydiman]

После обращения в поддержку Кинетика, их ответ (верните как в статье и сделайте дамп трафика) навёл меня на мысль прописать

ip nat 10.1.0.0 255.255.255.252

и всё заработало!

Так что стоит исправить статью!
Кстати, OpenVPN клиенты не видны в списке клиентов на Кинетике, как сказано в статье.

Возможно, если бы OpenVPN сервер был сконфигурирован на пул адресов (для нескольких клиентов), то совет ip nat OpenVPN0 сработал бы.

Изменено вчера в 18:02 пользователем slydiman

[slydiman]

Рано обрадовался. Всё было отлажено на ноуте с модемом и в процессе затесался параметр

topology subnet

Но когда я добрался до гаража и роутера Tandem, оказалось что в нем OpenVPN 2.5 и topology subnet там в принципе не работает. Local и remote IP задаются через UI

В итоге на Кинетике так и не удалось настроить NAT для OpenVPN TUN без topology subnet.

Изменено вчера в 16:20 пользователем slydiman

[slydiman]

Развязка...

В настройках OpenVPN сервера на Кинетике прописываем 

topology p2p

и на всякий случай

mode p2p

В UI роутера Tandem для OpenVPN есть компрессия LZ4 - не работает (в логах ничего внятного), поэтому оставить LZ0 на обоих концах.

В advanced добавить

redirect-gateway def1 bypass-dhcp

И наконец включить маскарадинг для интерфейса ovpn (зона vpn) в настройках файрвола и перезагрузить интерфейс.

PS: Всё что я услышал от техподдержки micro-drive.ru - это что WireGuard планируется.

Надеюсь эта информация будет кому-то полезной.

На всякий случай это всё про то как с российского роутера Tandem установленного в машине получить доступ к домашнему роутеру Кинетик и через него в интернет. 

Изменено вчера в 16:18 пользователем slydiman