Доброго времени
Проконсультируйте пож, кто в теме
VPN сеть. Клиенты, подключены к серверу - статус активен, но друг друга не видят - пинги не проходят.

лог сервера:

OpenVPN CLIENT LIST
Updated,Wed Apr 06 14:01:12 2022
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
client1,aaa.aa.116.17:62415,10676,6650,Wed Apr 06 13:59:27 2022
DMOSK,aaa.aa.116.17:33981,4355,5385,Wed Apr 06 14:00:12 2022
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
10.1.0.6,DMOSK,aaa.aa.116.17:33981,Wed Apr 06 14:00:12 2022
10.1.0.10,client1,aaa.aa.116.17:62415,Wed Apr 06 13:59:27 2022
GLOBAL STATS
Max bcast/mcast queue length,2
END


конфиг сервера:

ort 1194
proto udp
dev tun
dev-node "VPN server"
dh "C:\\Program Files\\OpenVPN\\ssl\\dh.pem"
ca "C:\\Program Files\\OpenVPN\\ssl\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\ssl\\cert.crt"
key "C:\\Program Files\\OpenVPN\\ssl\\cert.key"
server 10.1.0.0 255.255.255.0
max-clients 32
keepalive 10 120
client-to-client
compress
ncp-disable
fast-io
cipher AES-256-CBC
persist-key
persist-tun
status "C:\\Program Files\\OpenVPN\\log\\status.log"
log "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
verb 4
mute 20


конфиг клиентa:

#windows openvpn client config
client

dev tap
proto udp


remote bbb.bbb.236.47 1194
server-poll-timeout 10

server-poll-timeout 10
resolv-retry infinite

nobind

persist-key
persist-tun

ca ca1.crt
cert client1.crt
key client1.key

ns-cert-type server
cipher AES-256-CBC

;auth none

verb 3
mute 2

comp-lzo yes
explicit-exit-notify
dhcp-renew
dhcp-release

один из клиентов - ноут, другой - ПЛК210

буду признателен за помощь

Клиенты не общаются между собой?

Ищите настройку, разрешающую общаться клиентам. Правда она может работать при определенных настройках сети. Давно не занимался openVPN

А, возможно еще нужно чтобы поднимались маршруты на автомате. Вижу у вас client_to_client но этого несколько недостаточно

Не смог найти на рабочем пк. Попробую дома глянуть... В настройках openVPN есть возможность передавать маршруты со стороны сервера клиенту, а так же поднимать маршруты на клиентах при запуске VPN.
Так же на сервере должен быть настроен firewall, разрешающий хождение между сетями (на Linux точно приходилось настраивать) чтобы клиенты могли общаться между собой.

Спасибо за оперативный ответ
итак, по пунктам:
1. "Клиенты не общаются между собой?" - да, именно Один из клиентов- ноут, другой-ПЛК210 На сервере вижу присутствие обоих, но пинга нет, даже до сервера..
2. "Ищите настройку, разрешающую общаться клиентам" - знать бы, где эта волшебная кнопка.. сегодня чего только не перепробовал - не помогло
3. "А, возможно еще нужно чтобы поднимались маршруты на автомате. Вижу у вас client_to_client но этого несколько недостаточно" - наверно так и есть, но где поправить - непонятно. В моем понимании маршруты в пределах одной сети не нужны, но могу ошибаться. Возможно дело в изоляции клиентов, по крайней мере на роутере видел такую галочку.
На сегодня идеи кончились )

SA104 не совсем так. Сам openVPN разрешает общаться клиентам - параметр client-to-client НО, фактическое соединение между узлами идет как точка-точка. Я не помню, возможно ли в такой ситуации заставить работать, не разбирался.
Я настраивал сеть таким образом, что сервер имел адрес 10.0.0.1 а клиенты 10.0.0.2, 10.0.0.3 и так далее. Это тоже возможно, тогда у вас одна сеть как бы.
Далее если ЗА клиентом есть сеть, например у вас сервер и клиенты это роутеры, необходимо, чтобы сервер передал маршрут на сеть за собой, и поднял все маршруты на сети за клиентами. Но у вас просто клиенты, то есть достаточно разрешить в firewall разрешить хождение между интерфейсами клиентов. То есть на сервере будут подниматься интерфейсы TUN или TAP в зависимости от настроек. Соответственно firewall должен разрешать хождение пакетов между любыми tun или tap и не блокировать их.

Сам по себе openVPN не выполняет никаких функций firewall, это просто надо понимать.

Поищу дома в записях настройки сервера и клиентов... Если не забуду.

" сервер имел адрес 10.0.0.1 а клиенты 10.0.0.2, 10.0.0.3 " - у меня так и есть, только адреса чуть другие
фаервола нет - сервер поднят на машине в облаке, даже не знаю виртуальная она или "железная"
стоит система windows server 2012 R2
практически голая , только сервер и повесил
чем то бы проследить, где пакет пропадает
но почему то думается, что именно на сервере затык

Если в облаке, то может и провайдер рубить... И что значит нет Firewall ? нет Windows Brandmauer или как там бишь его? Если он просто выключен, это не значит что оно не работает, насколько помню для частных сетей надо настраивать...

А с клиента отсутствует пинг на сервер? таки icmp надо на сервере включить, чтобы он пинговался :) ну и icmp должны быть включены и на клиентах так же.

брандмауер выключил отдельно для каждой группы сетей - всего 3 кнопки там в настройках
что такое icmp и как его включать - хз, я не айтишник, так нахватался немного по верхушкам
Нашел любопытную утилиту - patchping, что то вроде пинга с трассировкой

C:\Users\acer>pathping 10.1.0.6 (это VPN ПЛК210)

Трассировка маршрута к 10.1.0.6 с максимальным числом переходов 30

0 DESKTOP-7GERFOR [ххх.ххх.192.38] (ноут с клиентом VPN)
1 ххх.ххх.192.1 (роутер)
2 хх.ххх.114.93 (внешний IP ?)
3 * * *
Подсчет статистики за: 50 сек. ...
Исходный узел Маршрутный узел
Прыжок RTT Утер./Отпр. % Утер./Отпр. % Адрес
0 DESKTOP-7GERFOR [192.168.192.38]
0/ 100 = 0% |
1 3мс 0/ 100 = 0% 0/ 100 = 0% ххх.ххх.192.1
0/ 100 = 0% |
2 3мс 0/ 100 = 0% 0/ 100 = 0% ххх.ххх.114.93

Трассировка завершена.

Если я правильно понимаю, то все ОК - потерь нет?
Но почему тогда пинг не проходит..

А с клиента отсутствует пинг на сервер? - нет

Посмотрите в нете как включить icmp
з.ы. если брендмауэр выключен полностью, не факт что будут проходить пакеты, сталкивался уже с таким. Надо именно в нем разрешать. С чем связано не знаю, сам не IT шник.
По принципу, если в системе изначально на что-то нет разрешения то отключения firewall не приводят ни к чему... его как не было (разрешения) так и не будет.
Например это относится к разрешению пакетов между интерфейсами...

Вот мои старые мытарства по настройке одного из роутеров iRZ, там есть файл с описанием что, куда и зачем.

Единственное, смотрите на маршруты, у меня там были маршруты сквозь клиента на сеть за ним. Вам это по идее не потребуется.

Пример настройки сервера


port 1194
proto udp
dev tun0

ca "c:\\Program Files (x86)\\OpenVPN\\config\\keys\\ca.crt"
cert "c:\\Program Files (x86)\\OpenVPN\\config\\keys\\server.crt"
key "c:\\Program Files (x86)\\OpenVPN\\config\\keys\\server.key"
dh "c:\\Program Files (x86)\\OpenVPN\\config\\keys\\dh1024.pem"

topology subnet
route-method exe
server 10.8.0.0 255.255.255.0

route 10.8.0.0 255.255.255.0
route-gateway 10.8.0.1

ifconfig-pool-persist ipp.txt #server option

script-security 3

client-config-dir "c:\\Program Files (x86)\\OpenVPN\\config\\ccd"
route 192.168.1.0 255.255.255.0 10.8.0.2

client-to-client

keepalive 5 60

cipher BF-CBC # Blowfish (default)
;cipher AES-128-CBC # AES
;cipher DES-EDE3-CBC # Triple-DES

comp-lzo

persist-key
persist-tun

status openvpn-status.log

;log openvpn.log

verb 3


На сервере файлы для клиентов (маршруты на сервере поднимаются при подключении клиентов по идее)


ifconfig-push 10.8.0.2 255.255.255.0
push "route 10.8.0.0 255.255.255.0"
push "route 192.168.0.0 255.255.255.0"
push "route-gateway 10.8.0.1"
iroute 192.168.1.0 255.255.255.0


У вас в конфиге нет параметра topology subnet
без него по идее будет точка точка и надо выделять по 4 ip адреса на сеть. Сервер, шлюз, широковещательный адрес и адрес клиента.