OpenVPN и IPTABLES - Как назначить шлюз lan (vpn) клиентам

Я пытаюсь настроить свою сеть openvpn, но у меня проблема.

Моя конфигурация локальной сети выглядит следующим образом:

• основной роутер Zyxel 192.168.1.1, выступающий в роли шлюза (подключение vdsl) и точка доступа;
• Маршрутизатор openwrt TD-W8970 192.168.1.2 в качестве доступа точка и впн сервер (10.212.79.1)

Что я хочу сделать, так это создать сеть VPN с клиентами, которые должны отправлять интернет-запросы только через мой шлюз локальной сети (192.168.1.1); Другими словами, я хочу, чтобы общедоступный IP-адрес клиентов, отображаемый в Интернете, был шлюзом моей локальной сети (192.168.1.1), а не тем, который был назначен им их интернет-провайдером.

Здесь ниже моя конфигурация openvpn.

server.conf

пользователь никто
группа
разработчик тун
порт 1194
прото удп
сервер 10.212.79.0
255.255.255.0
топология подсети
клиент-клиент
поддержка 10 60
упорный тун
постоянный ключ
глагол 3
нажать "постоянно-тун"
нажмите «постоянный ключ»
нажмите "dhcp-опция DNS 8.8.8.8"
нажмите "dhcp-опция DNS 8.8.4.4"
нажмите "маршрут 192.168.1.0 255.255.255.0"
ca /etc/easy-rsa/pki/ca.crt
сертификат /etc/easy-rsa/pki/выпущенный/server.crt
ключ /etc/easy-rsa/pki/private/server.key
дх /etc/easy-rsa/pki/dh.pem
tls-auth /etc/easy-rsa/pki/ta.key 0

client.conf

разработчик тун
прото удп
удаленный myserver_xyz.com 1194 udp
разрешить-повторить бесконечный
ни к чему
пользователь никто
группа
постоянный ключ
упорный тун
ca ca.crt
сертификат client1.crt
ключ клиент1.ключ
сервер удаленного сертификата tls
tls-auth ta.key 1
шифр AES-256-CBC
глагол 3

Сеть openvpn установлена ​​правильно, и клиент 10.212.79.2 может пинговать vpn-сервер 10.212.79.1 и перемещаться в Интернете.

Проблема в том, что общедоступный IP-адрес клиента, показанный в Интернете, назначен его интернет-провайдером, а не шлюзом локальной сети (192.168.1.1), где находится сервер vpn (192.168.1.2 / 10.212.79.1).

Я попытался внести некоторые изменения в конфигурацию сервера, но безуспешно.

Я также пытался поставить push «redirect-gateway def1» или push «redirect-gateway autolocal», но в этом случае клиент вообще перестал перемещаться в Интернете.

Если это не проблема openvpn, то проблема связана с правильной настройкой IPTABLES?

Не могли бы вы мне помочь?

Заранее спасибо :)

Если я понял ваши потребности, IP-пакеты вашего клиента должны быть отправлены на клиентский маршрутизатор, затем через Интернет в туннеле, на серверный маршрутизатор, а затем обратно в Интернет.

перенаправление-шлюз def1 кажется адекватным, но, чтобы быть уверенным, было бы лучше показать нам IP-адрес маршрута вывод на все узлы (клиентский ПК, клиентский маршрутизатор, серверный маршрутизатор). Эти выходные данные позволят нам убедиться, что разные таблицы маршрутов верны. https://openvpn.net/community-resources/how-to/ предлагает местный флаг в зависимости от вашей точной конфигурации.

Команда маскировки должна быть размещена на сервере VPN, обычно на маршрутизаторе сервера: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE где eth0 — внешнее устройство (ближайшее к интернету). Видеть https://linuxhacks.org/what-is-ip-masquerade-and-how-to-rule-it-with-iptables/ или же https://bobcares.com/blog/iptables-nat-masquerade/ Вы также должны включить переадресацию (см. эти статьи).