Åtkomst till ett annat Subnät via OpenVPN klient

Hej,

Jag vänder mig till er här för att söka lite hjälp på traven för ett "litet" problem som jag har stött på.
Bilden nedan som är gjord i paint ska illustrera de två olika nätverk (LAN 1 & LAN 2) som jag vill att kommunikationen emellan ska vara så simpel som möjligt.
LAN 1 ska föreställa min brors företag där han behöver en del hjälp med IT och då vänder han sig till mig. Eftersom jag bor på en annan ort ca 60 mil ifrån vill jag hellre lösa det fjärrstyrt (RDP).

Det jag vill lösa är att komma åt hans subnät 192.168.60.0/24. via VPN klienter som står/finns på hans nätverk. I dagsläget har jag satt dit 2st VPN klienter.

VPN Klient 1 är en windows 10 laptop som är ansluten från hans nätverk till min OpenVPN server. Det är tack vare denna klienten som jag kan använda mig av RDP/Fjärrstyrning för att komma åt hans LAN, alltså jag ansluter mig till hans nätverk genom att RDP:a till just denna VPN klienten via 10.16.0.2, sedan har denna klienten ett lokalt IP: 192.168.60.10 (LAN 1). Därefter så kör jag RDP från denna VPN klienten till alla andra datorer på hans nätverk inkl Domain Controller (DC) som är en Win Server 2012. DC:n agerar både som AD, DHCP samt DNS server.

VPN Klient 2 är en gammal synology ds212j burk som står där för att göra backup på DC och jag lägger där även en del personlig backup från LAN 2 också.

LAN 1 (företagets nätverk) är ett litet nätverk som ingår i ett större nätverk och är därmed skyddad via "MAIN ROUTER" som ni också kan se på bilden nedan, den har jag inget tillräde till ( längst upp till vänster):

Nu när VPN Klient 1 ansluter till mitt VPN Server (ASUS AC86U med Merlin mjukvara) så får den alltid ett statiskt ip tilldelat. Jag har även följande inställningar som ni kan se på

Men jag kan fortfarande inte RDP direkt till andra klienter (client 1,2,3,4,5) utan måste först ansluta mig till VPN Klient 1 och därifrån vidare till andra klienter. Detta mellansteget vill jag helst undvika om det är möjligt.

Jag hoppas jag har gett en någorlunda bra förklaring av mitt "problem" och skulle tacksamt ta emot tips och råd av er insatta och kunniga inom nätverk till hur jag kan gå tillväga. Om något är oklart får ni gärna säga till alternativt om ni behöver mer information.

Med vänlig hälsning,
Stanikz

VPN Klient 1 (win10) har följande info:
LAN IP: 192.168.60.11
VPN IP: 10.16.0.2

Körde även tracert kommanden mot alla Client (1,2,3,4,5) och även DC (DHCP och DNS) servern. Nedan på bilden kan du se resultatet jag fick när jag körde tracert mot DC. Exakt samma resultat fick jag mot alla andra LAN klienter (Client 1,2,3,4,5) med dess egna IP adress. Alltså ingen skillnad.

VPN Klient 2 (synology NAS) har dessa värden:
LAN IP: 192.168.60.12
VPN IP: 10.16.0.3
Körde också traceroute på synology nasen via SSH till DC då fick jag följande resultat:

Testa med det du tipsade om och skrev det i VPN klient1s config fil. Dock fungerade inte det. Kollade i loggarna och där stod det:

Så jag valde att endast skriva

Med detta fick jag ingen error eller så i loggarna men LAN 1 nätverket (192.168.60.0) är fortfarande inte nåbar (går ej att pinga) från LAN2 (192.168.1.0). De screenshots du ser där är att jag är ansluten till LAN 1 VPN Klient 1 (192.168.60.11/10.16.0.2) därifrån kör jag tracert kommandon och SSH:ar till Synology (VPN Klient 2 192.168.60.12 / 10.16.0.3).

Ska ta och titta på det. Tack för tipset

Jag körde de du sa, detta är vad jag får fram. Dock ser du endast att jag har pingat DC servern (192.168.60.2) samt Client 5 på LAN från VPN Klient 1.

Spelar det någon roll ifall VPN Klient 1 och VPN Klient 2 är inte medlemmar i Domänen så som Client 1,2,3,4,5? Kan det spela roll?

Tack ska prova, återkommer med svaret. Nej jag tycker själv det är konstigt. Då jag har andra nätverk anslutna till mitt LAN 2 nätverk som på bilden ovan. Detta har gjorts endast på server sidan som du ser ovan i ASUS GUI:n genom att bara skriva dessa klienters "Common Name, Subnet och mask" samt ställa "Push = YES". Då har det funkat utan att behöva göra ytterliggare konfigurationer på klienternas sida.

Nu har jag provat som du sade. Inga fel meddelande men ingen åtkomst till 192.168.60.x subnät heller. Det jag vill poängtera är att OpenVPN servern som jag kör på LAN 2 är konfigurerat på sådant sätt att klienterna ska kunna köra split tunnelning. Vet inte om det spelar någon roll? Sen tänkte jag också om jag måste göra ytterliggare konfiguration i DHCP servern i Domän Controller på LAN 1.

Det gör inget, alla andra VPN klienter från andra LAN så som 192.168.10.x, 192.168.20.x och 192.168.30.x dessa kan jag nå utan några som helst problem. Då dessa är anslutna från sina respektive routrar (som VPN klienter) till min Router (VPN server). Sedan så ser du inställningar på min VPN Server ovan jag har t.ex. "client-to-client" samt deras Common Name Subnet etc har jag angett. Så det är ett stort nätverk och alla andra LAN fungerar. Det är bara 192.168.60.x som väggrar fungera, där har jag ju VPN klienter 1 och 2 (inte routern i dessa fallen) som är anslutna till min VPN Server (på LAN 2) utan det är en dator, en synology NAS.

Du sa inget fel faktiskt i det sista tipset. Att jag är ansluten via NASen (som klient) till mitt VPN server (router). Sedan kör jag VPN klient på routern och ansluter tillbaka till NASen genom att lägga upp VPN server där :). Detta var något jag inte hade tänkt! kanske fungerar och då har du löst mitt problem.

Nej jag kan tyvärr inte lägga upp någon VPN server på företaget, annars hade jag gjort det från början. Detta går ej då jag inte har tillgång till "MAIN ROUTER (10.128.5.1)" så kan tyvärr inte öppna några portar som helst. Därför försöker jag komma förbi det vilket jag hittills lyckats via VPN klienterna.

Stötte på yterliggare problem, då synology kan inte agera som både VPN client och VPN server samtidigt ifall båda client och server ska vara av samma typ t.ex. OpenVPN . Så fick istället ta och ansluta synology till asus routern via PPTP. Sedan lägga upp OpenVPN server på synology och ansluta ASUS mot den via OpenVPN client på ASUS. Det var inget större problem att ansluta. Bifogar även en bild på inställningar som jag har på synology VPN servern där jag bockade för "Allow clients to access server's LAN". Trots detta så kommer jag fortfarande inte åt 192.168.60.0/24 subnätet

Ja, precis jag kommer åt 192.168.60.0/24 subnät genom att ansluta en av datorerna från LAN 2 (192.168.1.10/192.168.1.20 > VPN Klient 1 (på LAN 1) sedan vidare till --> Client 1,2,3,4,5 på LAN 1.
Det är inte så viktigt att client 1,2,3,4,5 på LAN 1 ska nå 192.168.1.0/24 subnät. Det som är relevant att klienter på LAN 2 dvs 192.168.1.10 och 192.168.1.20 ska kunna nå alla clients på LAN 1 (192.168.60.0/24). Jag är inte helt säker på dina frågor gällande nat/masquerade, plus jag vet ej om de tillåter ip-forwarding. Ja, brandväggarna på VPN klient 1 (win10 datorn) är helt avstängd.

Tack för tipset, ska se om jag kan göra det på DC:n (Windows Server 2012 i DHCP tjänsten). Ska nog inte vara så svårt. Kanske det som varit spöket då routern 192.168.60.1 har DHCP disabled och aggerat endast som nod för inkommande WAN från MAIN ROUTERN (10.128.5.1).