[MakaBooka]

Цитата CJ F.A.N.:

/etc/openvpn/ccd/fil1 »

"fil1" где-то в конфигах ещё фигурирует?

[CJ F.A.N.]

Цитата MakaBooka:

"fil1" где-то в конфигах ещё фигурирует? »

все конфиги, которые выложил, они и есть, больше нет, только конфиг клиента есть, но значения он ведь не имеет.
А насколько я вижу, более нигде не фигурирует

[CJ F.A.N.]

Сам отвечу. Дело в моей невнимательности. Приведу ниже рабочие конфиги и краткий отчет.
server.conf

Код:

# cat server.conf
mode server
script-security 3 system
port 9375 
proto tcp 
dev tap 
tun-mtu 1200
client-config-dir /etc/openvpn/ccd
push "route 192.168.3.0 255.255.255.0"
route 192.168.2.0 255.255.255.0  
ca ca.crt 
cert server.crt 
key server.key 
dh dh1024.pem 
server 10.8.0.0 255.255.255.0 

ifconfig-pool-persist /etc/openvpn/ipp.txt 
keepalive 10 120 
persist-key 
persist-tun 
status openvpn-status.log 
log /var/log/openvpn.log 
tls-auth ta.key 0 
client-to-client
cipher DES-EDE3-CBC
verb 3
up /usr/sbin/openvpn_route.sh
user nobody
group nogroup

Скрипт openvpn_route.sh, выполняемый после запуска устройства TUN/TAP:

Код:

# cat /usr/sbin/openvpn_route.sh
route add -net 192.168.2.0/24 gw 10.8.0.8

Конфиг клиента:

Код:

# cat client.conf
client 
dev tap 
proto tcp 
remote ip_адрес_vpn_сервера порт_сервера 
mssfix

resolv-retry infinite 
nobind 
persist-key 
persist-tun 
ca /etc/openvpn/ca.crt
cert /etc/openvpn/fil1.crt 
key /etc/openvpn/fil1.key 
ns-cert-type server 
tls-auth /etc/openvpn/ta.key 1 
cipher DES-EDE3-CBC
verb 3

Теперь все работает. Что я сделал: я добавил в конфиг сервера опцию script-security 3 system, которая позволяет исполнять сторонние скрипты, а также строчку up /usr/sbin/openvpn_route.sh (скрипт). Теперь после запуска устройства TUN/TAP отрабатывает мой скрипт, создающий маршрут в сеть 192.168.2.0 через шлюз, который получает ip 10.8.0.8 от VPN сервера. При остановке устройства TUN/TAP маршрут автоматически удаляется. это реализовано средствами Openvpn, видимо. И еще, обязательно, надо,, чтобы подсети были разные. Если IP в организации менять - невозможно, можно просто добавить дополнительные IP на всех компьютерах, и соответственно на шлюзе тоже, в таком случае компьютеры будут доступны с двух (а при желании хоть с 10) подсетей. В общем, может быть кому-то понадобится этот топик

[Rezor666]

Цитата CJ F.A.N.:

Соответственно, как я понимаю, когда он подключается, на сервере с Openvpn должен создаваться маршрут который мне нужен, но нет....... »

А имя точно совпадает с именем сертификата?
Что с маршрутами?
Есть ли ошибки в логах openvpn?

[CJ F.A.N.]

Rezor666, я же написал, что эту проблему уже решил) не подхватывался мой скрипт из-за того, что надо было sequrity level выставить правильный)

[Rezor666]

CJ F.A.N., это не правильно, зачем нужен скрипт если openvpn сам может добавлять маршруты?

[MakaBooka]

это чуть лучше, чем rc.local, но можно дожать

[Rezor666]

Цитата MakaBooka:

это чуть лучше »

Надо все делать красиво!

[CJ F.A.N.]

Rezor666, как тогда сделать, чтобы маршруты прописывались автоматом при запуске TUN\TAP ? Если не скриптом?
А еще лучше бы было сделать, чтобы при подключении конкретного пользователя прописывался конкретный маршрут до его сети (например до fil1 - 192.168.,2.0 ) ? А при отключении клиента маршрут удалялся

это вроде как делается в каталоге ccd, но как я не старался, ничего из того, что там прописано, не происходит (конфиг клиента выше есть).

[Rezor666]

Цитата CJ F.A.N.:

как тогда сделать, чтобы маршруты прописывались автоматом при запуске TUN\TAP ? »

Для начала научиться читать что Вам писали.

Цитата Rezor666:

А имя точно совпадает с именем сертификата? Что с маршрутами? Есть ли ошибки в логах openvpn? »

Или я похож на телепата?