Desculpe pela resposta tardia. Esta é a minha configuração, rodando em um servidor dedicado (com conectividade gigabit) e minha caixa OpenWrt. Deixei de fora todo o material não essencial, incluindo as opções de registro e segurança, como tls-auth , ns-cert-type e outras coisas.
Servidor:
local vpn.example.com
port 12345
proto udp
dev tap
ca ca.pem
cert server-cert.pem
key server-key.pem
dh dh2048.pem
server-bridge nogw
ifconfig-pool 10.1.3.100 10.1.3.200 255.255.255.0
client-to-client
keepalive 10 120
persist-key
persist-tun
user openvpn
group openvpn
route 192.168.2.0 255.255.255.0 10.1.3.5
push "route 192.168.2.0 255.255.255.0 10.1.3.5"
... onde:
-
10.1.3.5é o endereço IP da minha OpenWrt -
10.1.3.1é o endereço IP da VPN do meu servidor (não visível na configuração) - Nenhuma ponte está configurada
- Nenhum NAT está configurado (eu uso o IPSec para isso agora)
- Os clientes recebem uma rota para o alcance de IP da minha rede doméstica
- O servidor tem uma rota para minha rede doméstica.
Isso significa que os clientes VPN podem se comunicar entre si e com o servidor, bem como todos os IPs da minha rede doméstica (a menos que haja um firewall em contrário)
Cliente (s):
client
proto udp
dev tap
remote vpn.example.com 12345
nobind
persist-key
persist-tun
ca ca.pem
cert client-cert.pem
key client-key.pem
Além disso, no cliente OpenWrt (importante, eu acho):
route-nopull
... para impedir que um "caminho para si mesmo" inútil (e potencialmente problemático) seja criado.
Novamente, nenhuma bridging está habilitada na caixa OpenWrt. Em vez disso, o roteamento regular é usado e o firewall é definido de acordo.
A "mágica" em tudo isso é empurrar o caminho para sua rede doméstica para seus clientes. Firewalls de lado, isso é tudo.