OpenVPN + маршруты
 

Товарищи, добрый день, не могли бы помочь разобраться в одном вопросе.
У нас на работе для подключения по RDP необходимо поднять туннель через OpenVPN.
Есть одна загвоздка: у одной сотрудницы провайдер предоставляет доступ к интернет без доступа к локальной сети (я не знаю как они это реализовали просто сам факт). У нас на работе тот же провайдер, т.ч. у нее не получается приконнектиться через OpenVPN на наш внешний адрес. В тех поддержке провайдера так и сказали - нельзя!

У меня возникла мысль: она поднимает туннель OpenVPN до моего роутера (он это умеет, адрес статика белая) и уже через него будет коннектиться к рабочему OpenVPN.

Т.е. примерно так: user -> OpenVPN_home -> получает адрес 10.8.0.2 (как пример) -> и дальше коннектиться на внешний ip тоже OpenVPN'ом.

И вот тут не могу понять, как мне сделать так, что бы соединение шло не через ее провайдера (грубо говоря), а уже внутри туннеля.
Мне почему-то кажется что надо маршрут прописать, но вот какой - не могу сообразить.
Может кто подскажет, если вообще такое реально проделать.

P.S. пробовал поднимать прокси и через него пропускать - не дает все равно.

Спасибо.

Бред какой-то. Если у вас "белый" IP-адрес, то кто угодно может на него приконнектиться. Хоть OpenVPN, хоть утюгом, если вы этого не запретили на устройстве, имеющем "белый" адрес.

Angry Demon, вы не поверите, но я говорю правду.
Просто может не так написал: на мой "белый" ip она коннкетится (у меня другой провайдер), а вот на рабочий (тот же провайдер, что и у нее) - не может.

DimmKo, ещё раз, на любой "белый" IP-адрес может прицепиться кто угодно. Если "белого" адреса нет - сушите вёсла.

Angry Demon, спасибо, я в курсе.
Вы просто не внимательно читаете.
Повторю: у рабочий и у нее домашний провайдер - ОДИН И ТОТ ЖЕ. НО! у нее тарифный план без доступа к локальной сети. И когда она пытается подключиться к нам (в пределах одного провайдера и одной сети как я понимаю), то не соединяется.
А если она коннектиться ко мне (у меня другой провайдер, т.к. я в другом городе) на мой внешний ip - всё ок.

Попробую 3 копейки свои вставить :)
Надо коннект из дома на работу изобразить под другим адресом, например: 10.8.1.2 и дома же пробросить маршрут с 10.8.0.0 на 10.8.1.0
Может придется у сотрудницы маршрут писать до другой сети (дом-работа).

Не понятно почему сотрудница не может законнектится на ваш IP. Она в том же офисе находится или в другом?

corbis, спасибо за ваше мнение.
На мой IP (на мой домашний роутер) она спокойно подключается, т.е. туннель поднимается. И вот для меня тут стала загвоздкой перенаправление трафика через мой домашний роутер.
Грубо говоря (если я правильно понимаю): ей присвоился адрес внутри туннеля
10.8.0.4 mask 255.255.255.252 gw 10.8.0.3 (это всё как пример).
Потом необходимо уже подключаться как бы через 10.8.0.3 - для обхода запрета ее провайдера.
Извините, если я не правильно объясняю.
Повторю ее ситуацию: ее домашний провайдер и наш провайдер в офисе - ОДИН И ТОТ ЖЕ. НО! у нее тарифный план не подразумевает пользование локальной сетью. И когда она пытается подключиться к офисному ip - то фиг ей. Она при мне звонила в тех поддержку их и ей там сказали: что т.к. офис и она в одной сети, а у нее такой тарифный план, то ничего не получится.
Такие дела.

DimmKo, ты, находясь в сети другого оператора, можешь поднять туннель до сети организации? Если - да, то не пойму проблему. Сотруднице можно прописать цепляться не к внутреннему адресу конторы в сети провайдера, а к внешнему (к которому, по идее, ты цепляешься).

NRMS, Я без проблем.
все так и есть - рабочий внешний в одной сети с ее адресом.
кстати, вот какой у нее тариф "Smile 450"

Ну и что?
"Локальная сеть провайдера" означает, что передача информации между абонентами провайдера (в том числе по "белым" адресам или же только внутри "серой" сети) идёт с начислением трафика по заниженной цене и/или на повышенной скорости по сравнению с обычной передачей информации между другими компьютерами.
Даже без "локальной сети" передача информации на любой другой белый IP этого провайдера должна осуществляться на общих условиях передачи данных. То есть с той же скоростью и по той же цене мегабайта, что и с любым другим компьютером (сервером, сайтом и т.д.) адресного пространства сети Интернет.
А вот блокировка такого трафика уже является незаконной.

DimmKo, по-хорошему конторе надо бодаться с этим хитропопым провайдером, т.к. блочить коннекты между своими клиентами без под.оплаты - не хорошо...

А в качестве временного решения можешь сам цепляться к впн-серверу конторы и поставить у себя опенвпн-сервер к которому будет цепляться данная сотрудница. Тогда твой впн-сервер должен будет давать сотруднице еще и маршрут до сети конторы. Ну и соответственно впн-сервер конторы должен знать путь к твоему впн-серверу

Можно погрозить жалобой в органы, занимающиеся лицензированием услуг связи.
За незаконное ограничение доступа к ресурсам сети Интернет вполне можно и без лицензии остаться.

NRMS, я об этом и говорю, вы единственный, кто понял мою мысль.
У меня роутер ASUS RT-N66U в котором есть встроенный OpenVPN. Я его настроил, дал ей конфиг и она к нему подсоединяется, т.е. ей доступны мои домашние ресурсы - ПК и прочее.
А как мне сделать так, что бы она могла уже внутри этой сети цепляться к рабочему OpenVPN?
Спасибо.

Насчет роутера не уверен что так можно будет сделать. Я так понимаю у тебя не стоковая прошивка на нем. На нем одновременно можно запустить и клиент и сервер?

Стоп! У тебя впн-сервер для нее на роутере поднят. А твоя машина подключена как клиент к сети конторы. Так? Тогда сотруднице надо давать маршрут до сети конторы в котором гейтом будет твоя машина. Конфиги покажи.

NRMS, у роутера прошивка официальная (стандартная; стоковая).
Я думал вот так: ее машину подключить к своему роутеру, там задать переадресацию уже внутри сети OpenVPN. Она из дома бы цеплялась к роутеру и уже ходила бы на свою машину внутри сети OpenVPN.
А конфиги чего именно Вам показать?