Теоретические вопросы по настройке VPN (ЛВС -> Сервер -> Удалённые клиенты)

[Dimon93rus]

Всем привет.
Есть небольшая сеть (192.168.1.0/24), которая имеет доступ в интернет через сервер (назавём его: server, внутр.ip/внеш.ip: 192.168.1.100/100.100.100.100 ). Он же является и DNS сервером. Так же есть 5 пользователей (user1..5) которые удалены как от сервера так и друг от друга. Нужно этих пользователей привязать к внутренней сети, чтобы они могли "видеть" пользователей внутренней сети и наоборот. Эти пользователи будут подключаться к интернету через ADSL модем в режиме роутера (Фактически договор с провайдером ещё не подписан ). Решили остановиться на OpenVPN. Т.к. пока удалённые пользователи ещё не имеют доступа в инет, то решил потестировать в общей сети причём OpenVPN сервер настраивал не на самом сервере а на своей машине + ещё одна машина в качестве клиента. Вроде бы работает, но хотелось чтобы знающие люди посмотрели конфиги и может что посоветовали ещё
server.conf:

Код:

local 192.168.1.235 port 1194 proto tcp dev tun ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/server.crt key /etc/openvpn/keys/server.key dh /etc/openvpn/keys/dh1024.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist /etc/openvpn/log/ipp.txt push "dhcp-option DNS 192.168.1.235" push "route-gateway 192.168.1.235" client-config-dir /etc/openvpn/ccd route 10.8.0.0 255.255.255.0 client-to-client keepalive 10 120 comp-lzo persist-key persist-tun status /etc/openvpn/log/openvpn-status.log log /etc/openvpn/log/openvpn.log verb 3

user.conf

Код:

client dev tun proto tcp remote 192.168.1.235 1194 resolv-retry infinite nobind persist-key persist-tun ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/server.crt key /etc/openvpn/keys/server.key comp-lzo verb 3

Я так понимаю в user.conf нужно будет указывать внеш.ip сервера, т.е. remote 100.100.100.100?
Тогда такими же должны быть и след. опци:
push "dhcp-option DNS 100.100.100.100"
push "route-gateway 100.100.100.100"
Правильно? Или правильней будет сделать push "redirect-gateway"?
Что дополнительно ещё нужно настроить, чтобы выполнялись выше описанные условия? Чисто в теории.... с использованием данных ip.
За ранее спасибо

[arkhnchul]

ну, нужно чтобы сам сервер был гейтом не только между локалкой и инетом, но и между локалкой и впн-ом (в iptables этого не запрещать т.е.). А так вроде и все...

[Dimon93rus]

ну, нужно чтобы сам сервер был гейтом не только между локалкой и инетом, но и между локалкой и впн-ом (в iptables этого не запрещать т.е.). А так вроде и все...

Что-то не соображу что к чему, можно подробнее?

UPD: а push "route 192.168.1.0 255.255.255.0" в настройках server.conf не прокатит?

[arkhnchul]

тут така штука. Все настройки впн-а - это то, что будет передано клиенту. Да, клиент будет считать, что впн-сервер - гейт между ним и локалкой. А сервер будет им являться? Т.е. что хочу сказать: на впн-сервере (раз он является гейтом для локалки) у нас пропускаются и натятся пакеты из оной самой локальной сети во внешний мир (разрешен форвард вообще посредством /proc/net/блабла, MASQUERADE для локалки во внешку в iptables и разрешено либо (скорее всего) не запрещеноо в цепочке FORWARD прохождение пакетов из локалки во внешку). Для прохождения пакетов из впн-а в локалку это должно быть либо явно разрешено в цепочке FORWARD (таблица filter), либо же не запрещено. Вообще, скорее всего так оно и есть и все будет работать. За подробностями - читать iptables tutorial на опеннете.