Не получается настроить работу OpenVPN сервера

[DIK]

Настроен OpenVPN сервер:

mode server
dev tun
proto udp
port 1195
server 192.168.250.0 255.255.255.0
topology subnet

persist-key
persist-tun
keepalive 10 120

push "route 192.168.255.0 255.255.255.0"

Телефон-клиент с ним соединяется:

client
dev tun
proto udp
remote IP 1195
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-GCM
 

Но интернет на клиенте пропадает. В админке роутера напротив OpenVPN сервера увеличивается число принятых байт, а отправленных - стоит на 312 байт.

Хотелось бы, чтобы клиент, соединившись с роутером, оказывался в домашней сети со всеми доступами и к интернету, и к ВПНам, и к устройствам.

Как этого достичь?

[CBLoner]

Я лично не настраивал OpenVPN, но предполагаю, что по аналогии в настройках вашего клиента должна стоять опция "Использовать шлюз удалённой сети", ну или что-то в этом виде.

[DIK]

Не в этом проблема. Трафик заворачивается в роутер. Роутер его дальше никуда не отправляет.

 

[DIK]

Вопрос снят. Всё настроилось, как надо.

 

[CBLoner]

Само? И каким чудесным образом настроилось? 😐

[DIK]

Ну не совсем само, конечно. Я чуть помог.

[AlexWalex]

On 6/10/2026 at 2:59 PM, DIK said:

Ну не совсем само, конечно. Я чуть помог.

Как помог, подскажи? Где грабли были?

[DIK]

1. OpenVPN сервер на роутере должен обязательно иметь галку "Использовать для выхода в интернет".

2 Среди push в описании сервера указано:

push "redirect-gateway def1"
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 192.168.1.1"

Последнее правило для того, чтобы DNS запросы удаленного клиента шли через роутер (что важно, если настроена DNS маршрутизация). Это, если роутер на 192.168.1.1.

3. В Межсетевом экране на сегменте провайдера разрешить входящий UDP трафик на OpenVPN на его порту.

4. В Межсетевом экране на сегменте провайдера  разрешить трафик из подсети OpenVPN (например, 10.8.250.0/24) куда угодно по любому протоколу (выбрать IP).

5.  В Межсетевом экране на сегменте OpenVPN сервера разрешить всё (любой протокол, любое источник, любое назначение).

6. Если используется DNS маршрутизация, то для клиента-Windows в описании конфига следует добавить строку:

block-outside-dns

Иначе специфика отправки DNS запросов из Windows (она шлёт их во все интерфейсы - кто быстрее ответит) будет иногда ломать настроенную DNS маршрутизацию.

После этого внешнему клиенту OpenVPN доступны все ресурсы домашней сети.

Изменено 18 июня пользователем DIK

[AlexWalex]

16 hours ago, DIK said:

OpenVPN сервер на роутере должен обязательно иметь галку

Спасибо за подсказку. Все равно не получается. Очень странно у меня работает.

Симптомы такие:

Например, соединяюсь с сервером через андроид приложение, находясь в домашнем вайфай. Соединение происходит, но страницы не открываются. Если в этот момент переключить телефон на GSM (отключиться от вайфай), то все начинает работать. Если опять переключится с GSM на вайфай, соединение есть, страницы не открываются.

И наоборот: если подключаешься к серверу через GSM, связь устанавливается, но страницы в браузере не открываются. Если переключиться на вайфай, страницы открываются, все работает. Переключение с вайфай на GSM - все останавливается. 

Иными словами, соединение происходит, IP присваивается, но чтобы работала сеть за роутером и работал интернет, приходится переключаться с GSM на вайфай или наоборот. 

Что за ерунда такая, может кто сталкивался. В сети пробрасывают идею про mtu, пробовал разные значения, не помогает.

PS. да, на другом берегу сервер подключен к провайдеру по PPPoE. Может здесь какая засада. НО! Этот же сервер без проблем подключается к другим серверам и работает корректно.

Изменено 19 июня пользователем AlexWalex

[DIK]

2 часа назад, AlexWalex сказал:

Спасибо за подсказку. Все равно не получается. Очень странно у меня работает.

Симптомы такие:

Например, соединяюсь с сервером через андроид приложение, находясь в домашнем вайфай. Соединение происходит, но страницы не открываются. Если в этот момент переключить телефон на GSM (отключиться от вайфай), то все начинает работать. Если опять переключится с GSM на вайфай, соединение есть, страницы не открываются.

И наоборот: если подключаешься к серверу через GSM, связь устанавливается, но страницы в браузере не открываются. Если переключиться на вайфай, страницы открываются, все работает. Переключение с вайфай на GSM - все останавливается. 

Иными словами, соединение происходит, IP присваивается, но чтобы работала сеть за роутером и работал интернет, приходится переключаться с GSM на вайфай или наоборот. 

Что за ерунда такая, может кто сталкивался. В сети пробрасывают идею про mtu, пробовал разные значения, не помогает.

PS. да, на другом берегу сервер подключен к провайдеру по PPPoE. Может здесь какая засада. НО! Этот же сервер без проблем подключается к другим серверам и работает корректно.

Моё подозрение - DNS запросы не пробрасываются и теряются. Нужно прописать правила FW как я указал выше. Не знаю, но, кажется, ваша ОС чуть отличается от моей.

Если не получится, тогда проще всего сбросить роутер начисто, открыть Google в режиме ИИ и дать ему модель роутера и версию его ОС, сказать, что он чист и попросить инструкции для настройки OpenVPN сервера на роутере так, чтобы снаружи был полный доступ к домашней сети. Он тоже может давать бредовый совет изменить MTU (видимо, читает те же сайты), но это надо игнорировать. 

[AlexWalex]

21 hours ago, DIK said:

любой протокол

У меня в настройках нет такого "любой протокол", либо TCP либо UDP. В этом случае прописываем оба по отдельности, так ведь?

[DIK]

Там должен быть вариант IP - это любой

[DIK]

Там должен быть вариант IP - это любой.
А прописывать отдельно TCP и UDP - плохое решение. Это отрежет всё остальное - DNS запросы, например.

[AlexWalex]

21 hours ago, DIK said:

 

 

21 hours ago, DIK said:

В Межсетевом экране на сегменте провайдера  разрешить трафик из подсети OpenVPN (например, 10.8.250.0/24) куда угодно по любому протоколу (выбрать IP).

Можете скрин показать пожалуйста?

[AlexWalex]

6 minutes ago, DIK said:

Там должен быть вариант IP - это любой.

 

[DIK]

Это простое правило для сегмента OpenVPN сервер.

Протокол IPV4 - после обновления, видимо, был переименован.

[DIK]

И два правила для сегмента провайдера интернета:

И второе на выход:

Поменяйте IP на сеть OpenVPN сервера, что прописана в его конфиге.

 

[DIK]

Порт укажите не 1195, а свой из конфига - вероятно, 1194.

[AlexWalex]

27 minutes ago, DIK said:

Порт укажите не 1195, а свой из конфига - вероятно, 1194.

Еще раз благодарю за за содействие. Все сделал по образу и подобию, не получается...

Spoiler

конфигурация клиента

 

client
remote-cert-tls server
dev tun0
proto udp4
remote ******* 1194
resolv-retry infinite
nobind
persist-key
persist-tun
cipher AES-256-GCM

 

конфиг сервера

tls-server
cipher AES-256-GCM
dev tun0
proto udp4

persist-key
persist-tun
push "redirect-gateway def1"
push "route 192.168.100.0 255.255.255.0"
push "explicit-exit-notify 3"
push "dhcp-option DNS 192.168.100.1"
push "dhcp-option DNS 1.1.1.1"
push "dhcp-option DNS 8.8.8.8"
topology subnet
server 10.100.100.0 255.255.255.0
duplicate-cn
keepalive 10 120
client-to-client
verb 3

 

Изменено 19 июня пользователем AlexWalex
спойлер ошибочно

[DIK]

А на странице "Другие подключения" цифры Принято Отправлено около OpenМPN сервера меняются обе? Или только одна увеличивается?

[DIK]

И можно скрин страницы Межсетевой экран?

 

[AlexWalex]

3 minutes ago, DIK said:

И можно скрин страницы Межсетевой экран?

Это провайдер

[AlexWalex]

4 minutes ago, DIK said:

И можно скрин страницы Межсетевой экран?

Это сегмент сервера

[AlexWalex]

10 minutes ago, DIK said:

А на странице "Другие подключения" цифры Принято Отправлено около OpenМPN сервера меняются обе? Или только одна увеличивается?

Нет, ничего не происходит. Отправлено 5 кб, Принято 0 кб

Изменено 19 июня пользователем AlexWalex

[DIK]

Если не меняются цифры при установленном соединении, то это странно. А принято ноль - вообще не понятно. Это когда клиент соединился?

Подключать клиента нужно извне роутера, НЕ из домашней сети.

Дабы конфиги здесь не светить, скормите их ИИ google.com вместе с этими скринами для проверки.

 

[DIK]

Конфиг сервера похож на это?

mode server
dev tun
proto udp
port 1194
server 10.100.100.0 255.255.255.0
topology subnet

persist-key
persist-tun
keepalive 10 120

push "redirect-gateway def1"
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 192.168.1.1"

<ca>
.... далее сертификат и ключ

 

А клиента на это?

client
dev tun
proto udp
remote внешний_IP_роутера 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-GCM

<ca>
.... далее сертификат и ключ

 

IP роутера, надеюсь, белый?

[AlexWalex]

1 minute ago, DIK said:

Конфиг сервера похож на это?

Да, конфиги идентичные. Здесь все четко.

 

2 minutes ago, DIK said:

IP роутера, надеюсь, белый?

Да.

[DIK]

Т.е. клиент подключается, в Принято - ноль байт?

[DIK]

Вот так выглядит окно настройки сервера? Три важных пункта я обвёл

[AlexWalex]

40 minutes ago, DIK said:

Вот так выглядит окно настройки сервера? Три важных пункта я обвёл

Все так, кроме "Получать маршруты..." Сейчас исправлю, посмотрю.

 

PS. Не помогло....

Все работает, если подключаться и передергивать вайфай на gsm или наоборт..... абзац

Изменено 19 июня пользователем AlexWalex