Сервер OpenVPN для разрешения доступа к двум разным сетям

Я пытаюсь разрешить клиентам OpenVPN доступ к OpenVPN, который имеет доступ к двум разным подсетям. 10.203.1.61 имеет общедоступную сеть и используется, когда клиенты получают доступ к OpenVPN, в то время как 172.28 (ens4) является частным IP-адресом в этой сети. Я хотел бы, чтобы они также имели возможность доступа к сети, работающей на ens4.

ens3: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 9000 инет 10.203.1.61 сетевая маска 255.255.192.0 широковещательный 10.203.63.255

ens4: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 9000 инет 172.28.255.61 сетевая маска 255.255.255.0 широковещательная рассылка 0.0.0.0

У меня есть следующая конфигурация в server.conf, но, похоже, она не работает. Кто-нибудь может мне помочь?

Спасибо

местный 10.203.1.61
порт 443
прото удп
разработчик тун
ca ca.crt
сервер сертификатов.crt
ключевой сервер.key
dh dh.pem
аутентификация SHA512
tls-crypt tc.key
топология подсети
сервер 10.8.0.0 255.255.255.0
нажмите "маршрут 10.203.0.0 255.255.192.0"
нажмите "маршрут 172.28.255.0 255.255.255.0"
ifconfig-pool-persist ipp.txt
нажмите «dhcp-опция DNS 10.203.1.11»
нажмите «dhcp-опция DNS 10.203.1.14»
нажмите "dhcp-опция ДОМЕН acme.com"
поддержка 10 120
шифр AES-256-CBC
пользователь никто
группа никто
постоянный ключ
упорный тун
глагол 3
crl-проверить crl.pem
дубликат-сп
явное уведомление о выходе
плагин /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so /etc/openvpn/auth/ldap.conf

Вот мой маршрут на сервере

[root@openvpn01 ~]# маршрут
Таблица IP-маршрутизации ядра
Шлюз назначения Флаги Генмаски Метрика Ссылка Использование Iface
шлюз по умолчанию 0.0.0.0 UG 0 0 0 ens3
10.8.0.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0
10.203.0.0 0.0.0.0 255.255.192.0 U 0 0 0 ens3
локальная ссылка 0.0.0.0 255.255.0.0 U 0 0 0 ens3
локальная ссылка 0.0.0.0 255.255.0.0 U 1002 0 0 ens3
172.28.255.0 0.0.0.0 255.255.255.0 U 0 0 0 ens4

Спасибо за ответ. Я добавил ipv4 forward (как и в sysctl.conf). iptables показывает, что у меня уже есть -P FORWARD ACCEPT

-P ВВОД ПРИНЯТЬ
-P ВПЕРЕД ПРИНЯТЬ
-P ВЫВОД ПРИНЯТЬ
-A ВВОД -p udp -m udp --dport 443 -j ПРИНЯТЬ
-A ВПЕРЕД -m состояние --state СВЯЗАННО, УСТАНОВЛЕНО -j ПРИНЯТЬ
-A ВПЕРЕД -s 10.8.0.0/24 -j ПРИНЯТЬ

Я также добавил маршрут для сети 172.28.255, чтобы при отправке 10.8.0.0/24 обратно на 172.28.255.61 (вторичный vnic openvpn), но это также не помогло. У меня есть вторичный VNIC, настроенный на пропуск проверки источника/назначения (в OCI)

Если маршруты правильно отправляются клиентам, попробуйте следующее:

1. Включите IP-переадресацию в вашем linuxbox с помощью sysctl net.ipv4.ip_forward=1 команда больше информации Док
2. Разрешить переадресацию IP через Iptables:
   • Очистить правила Iptables iptables-F (если у вас есть отрицание)
   • Разрешить весь прямой трафик по умолчанию iptables -P ПЕРЕДАТЬ ПРИНЯТЬ

Примечание: Помните о сети 172.28.255.0/24 нужен маршрут для доступа 10.8.0.0/24 через ваш сервер OpenVPN.