OpenVPNの構築で困って下ります。。

[さやか]

OpenVPNの構築を進めている中で、１点困っております。。
お気づき等ありましたら、ご教示いただけないでしょうか。

社内にてブリッジ接続にて構築されたOpenVPNサーバーを稼働させ、外部からOpenVPNサーバーへvpnux ClientにてVPN接続し、
下記、２点の目的を果たそうとしています。
（OpenVPNサーバーは、CentOS7 OpenVPN 2.3.10 です（詳細は後述します））

・社内ネットワークに接続し、社内ネットワークに配置しているNAS等の資源にアクセスできること。

・社内ネットワークが保有している外側固定グローバルIPアドレスを接続元として限る、某外部サービスを利用予定としていますが、

そのサービスを外出先からも利用するため、外部へのWebアクセスを、VPNサーバーを経由したアクセスにし、

あたかも社内からアクセスしているようにしてシステムを利用できること。
（モバイルwifiルーターを携帯し、デザリング機能によりインターネットアクセス＆VPNアクセスし、社内経由で外部アクセスするようにしたい。）

社内にて構築している、OpenVPNサーバーは、一つのプライベートを持っています。
そこで、外部接続用のルーターが固定のグローバルIPアドレスを保有しているため、
ルーターへの一部アクセスをポートフォワードし、OpenVPNサーバーへの通信として転送しています。
アクセスルートのイメージとしては、下記のとおりです。
（IPアドレスはサンプルとしての例です）

－－－－ここから

vpnux Client
↓
インターネット（モバイルWiFiルーター等を想定）
↓
会社ルーター
↓
<443(TCP)へのアクセスをポートフォワード>
↓
社内OpenVPNサーバー(192.168.0.28/24 443(TCP))

－－－－ここまで


社内OpenVPNサーバーは、ひとつのプライベートネットワークアドレスを持っており、社内から外部接続するために使用している
ルーターへのVPNアクセスを、社内OpenVPNサーバーへ転送しています。
（社内のOpenVPNサーバーは、443(TCP)にて待受（詳細は後述））

192.168.0.0/24 は、社内ネットワークのネットワーク・アドレスとなっており、NASが192.168.0.26 等、各種ネットワーク機器が
同ネットワーク・アドレス内に接続されています。


ここで、TAPの構築、及びブリッジも行っており、かつ、外部からのVPNアクセスの正常接続は確認できているのですが、
VPN接続先サーバーのネットワークの他の機器への接続、及び、VPNサーバーを経由した外部アクセスが行えません。

上記構成のサンプルで言うと、VPN接続後。。
192.168.0.28 に対して、pingがとおりますが、
192.168.0.26 に対して、pingが通りません。
（もちろん、192.168.0.28へsshにてログイン後、192.168.0.26に対するpingを打つと通ります。）

上記に基づき、VPNサーバーへの接続は出来ているのですが、その接続先ネットワーク機器への接続、VPN経由のインターネットアクセスの２点の目的をいずれも果たせていない状態になっています。

よくありがちな設定漏れ等、不足している作業等がありましたら、ご指摘いただけないでしょうか？
問題切り分けのため、デフォルト稼働しているfirewalldは停止状態にしています。iptablesは導入していません。

ＯＳや、設定ファイル等の情報は下記URLのとおりとなっています。

https://www.evernote.com/shard/s670/sh/3b9f9235-72df-455c-ba16-18ad...

長々と大変申し訳ございませんが、ご助力いただけますと幸いです。

[山崎 太郎]

こんにちは、やまざきです。

OpenVPN起動前後にこちらのスクリプト（bridge-startおよびbridge-stop）を
実行しておりますでしょうか。

https://openvpn.net/index.php/open-source/documentation/miscellaneous/76-ethernet-bridging.html#linuxscript

一般的な用途であればブリッジ（TAP）よりもトンネリング（TUN）のほうが構成が
容易ですので、まずはTUNで接続できる形にしていただくのもいいかもしれません。

--
::: Your Security Solution Provider.
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
山崎 太郎 ● ITSD部ディレクタ 兼 CIO
[e-Mail] ta...@plum-systems.co.jp
[LinkedIn] http://www.linkedin.com/in/yamata

プラムシステムズ株式会社
〒215-0031 神奈川県川崎市麻生区栗平2-3-11 ベルヴィル 2F
URL：http://www.plum-systems.co.jp/
TEL：044-980-1250　FAX：044-980-1251
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

> <https://www.evernote.com/shard/s670/sh/3b9f9235-72df-455c-ba16-18ad2c
> 0359d8/6ba1264a9277db0e>
>
> 長々と大変申し訳ございませんが、ご助力いただけますと幸いです。
>
>
> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録
> しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには
> openvpn-japan-user...@googlegroups.com にメールを送信し
> てください。
> その他のオプションについては https://groups.google.com/d/optout にアクセ
> スしてください。

[さやか]

山崎さま

お世話になっております。

ご確認ありがとうございます！ 

アドバイス頂いた通り、ルーティングで設定し直してみます。

ありがとうございました。

何かありましたらまたよろしくお願いいたします。

[山崎 太郎]

こんにちは、やまざきです。

iOSやAndroidなどはTAPデバイスが使用できないこともありますし、
セキュリティ設定やネットワーク構成の柔軟性の観点からも、TUN
デバイスで構築しておくことのメリットもあるかと思います。

TUNデバイスを使用する設定の場合、VPNクライアントにルートを
プッシュする必要があるのと、VPNサーバーネットワーク側での
ルーティング設定が必要になりますので、その点を注意して設定
してみてください。

http://www.openvpn.jp/document/how-to/#Expanding

--
::: Your Security Solution Provider.
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
山崎 太郎 ● ITSD部ディレクタ 兼 CIO
[e-Mail] ta...@plum-systems.co.jp
[LinkedIn] http://www.linkedin.com/in/yamata

プラムシステムズ株式会社
〒215-0031 神奈川県川崎市麻生区栗平2-3-11 ベルヴィル 2F
URL：http://www.plum-systems.co.jp/
TEL：044-980-1250　FAX：044-980-1251
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

> -----Original Message-----
> From: openvpn-japa...@googlegroups.com
> [mailto:openvpn-japa...@googlegroups.com] On Behalf Of さやか
> Sent: Monday, March 14, 2016 4:26 PM
> To: OpenVPN Japan Users Group
> <openvpn-japa...@googlegroups.com>