Маршрутизация VPN, прошу помощи⁠⁠

tap вместо tun поднимать уже рекомендовали? На Кинетике маршрутизация между интерфейсами включена?

и ещё добавлю если нужна большая скорость то придется или запустить openvpn на компьютере или настроить в облаке и на кинетике wireguard, а потом в облаке машрутизировать трафик из wireguard сервера в openvpn сервер - потому что keenetic с трудом обработает больше 50 мбит openvpn
https://www.reddit.com/r/WireGuard/comments/f1m5i5/wireguard...
https://github.com/StreisandEffect/streisand

Если нельзя прописать маршрут на клиенте с 10.0.128.14 адресом, то проще всего на кинетике будет пробросить нужные для управления станком порты. То есть настроить правила, по которым пакеты приходящие на нужный порт адреса 10.0.128.13 будут перенаправляться на адрес станка 192.168.12.2. Ну, или вообще прописать станок DMZ хостом, если это есть в настройках роутера.

В интерфейсе командной строки (CLI) роутера можно выполнить команды:

no isolate-private

system configuration save

Станок же по DHCP адрес заполучил, так что кинетик у него дефолтный должен быть. А на кинетике действительно нужно будет прописать ответный маршрут, прикольно будет, если у клиента тоже 192.168.12 сеть. Маппинг проще будет, если порты нужные известны.

Если предположить, что аплайанс развернут корректно по модели site-to-site, то вроде бы косяков не видно. Пара моментов:1) хост, к которому надо ходить снаружи, в такой топологии должен иметь либо кинетик дефолтным гейтом, либо маршрут на сеть внешнего пользователя через кинетик, либо кинетик должен на входящие из туннеля пакеты делать src nat (если маршрутизация на хосте не настраивается, но от хз, умеет ли он такое) 2) надо вдумчиво пошмонать настройки кинетика в части файрвола - не знаю конкретно про этот, но порой бывает, что по дефолту файрвол не доверяет входящим пакетам и дропает их.

на компе другана route print и ipconfig заскринить можешь?

на компе другана route print и ipconfig заскринить можешь?

неплохо бы ifconfig с клиента и с сервера при поднятом туннеле увидеть. Ну и таблицы маршрутизации, чтоб два раза не вставать.

неплохо бы ifconfig с клиента и с сервера при поднятом туннеле увидеть. Ну и таблицы маршрутизации, чтоб два раза не вставать.

неплохо бы ifconfig с клиента и с сервера при поднятом туннеле увидеть. Ну и таблицы маршрутизации, чтоб два раза не вставать.

неплохо бы ifconfig с клиента и с сервера при поднятом туннеле увидеть. Ну и таблицы маршрутизации, чтоб два раза не вставать.

Скорее всего это файрвол, попробуйте для интерфейса OpenVPN добавить правило, которое все разрешает

А какой Кинетик?

А до 10.0.128.13 от компа приятеля пинг идет?

Ладно, разбирайтесь. Ни из текста ни с картинки непонятно кто где подключается и где станок и какой адрес он имеет.

Вот ваши слова например

Станок был подключен к сети

Если именно загнать клиент овпн в 192.168.0.0/16, то надо овпн сервер на самом кинетике поднять. Если просто нужен доступ по какому-то протоколу, то можно сделать пробросы нужных портов

На клиенте должен быть прописан маршрут на подсеть 192.168.1.0/16 со шлюзом 10.0.128.13. OpenVPN, вроде умеет маршруты отдавать при подключении, ну или руками можно на клиенте прописать. Главное что-бы у клиента тоже не 192.168.0 локалка была.

нахера кинетик? пусть прямо клиент цепляется к опенвпн серверу, получает адрес  типа 10.0.128.20 и работает напрямую с 10.0.128.14