Zgadza się khain. Nie bardzo wiem jakie są różnice między TUN a TAP. Ale jeśli w TUN będę wszystko widział co mam w sieci to wolę iść w tym kierunku. Jeśli w TAP będę widział też wszystko co jest w sieci 192.168.1.X to też może być.
Z góry przepraszam za moją niewiedzę ale nie każdy od razu jest alfą czy omegą

Co do mojej sieci to
Moja sieć domowa ma pulę adresów z sieci 192.168.1.X  "ALE" jest też pula nr 2 z sieci 192.168.0.1 i na niej jest jedynie modem dsl neostrady. Jeśli jest możliwość żeby dało się na niego wejść to było by super ale nic się nie stanie jak na niego wejść nie będę mógł.

Dla klienta openvpn mogę przyjąć adres z sieci 192.168.0.X albo 192.168.2.X
Obojętne mi to o ile nie zakłóci to pracy modemu dsl który ma adres 192.168.0.1

Chociaż jak dobrze rozumiem to jest sieć po stronie klienta a nie serwera więc niema takiego prawa żeby adres z tej sieci był widoczny po stronie serwera.

Będę w domu koło 17 będę próbował z tymi configami działać ?:) Może jakimś cudem wstanie od razu.

Jeszcze pytanie zanim wezmę zastąpię stary config nowy.

Rozumiem że w to miejsce mam wprowadzić nazwy swoich plików?

khain nie doczytałeś jakie jest moje założenie. Ja mam w swojej sieci 2 routery i na obu mam gargoyle najnowsze. Na obu już zrobiłem vpna przez gui. I do obu już mogę się łączyć przez internet. Wszystko niby fajnie ale 80% urządzeń nie widzę w sieci ani pingować ich nie mogę. Dlatego tak kombinuje jak koń pod górę. Założenie moje jest takie że z komputera czy telefonu chcę się dostać do mojej sieci przez internet. W razie awarii jednego routera dostać się przez drugi do sieci i coś pogrzebać.

Tu jest rysunek który na stronie 7 tego tematu podałem.

https://zapodaj.net/c87aa382d8efd.jpg.html

W obu tp-linkach mam skonfigurowany ddns i na oba sie da łączyć

1. A masz jakiś pomysł jak zrealizować przez gargoyle moje założenia?
2. Co do multiwan to na ten moment nie chce kombinować. Wole na ten moment uporać się z openvpn'em.

Jak by to było możliwe to ja bym to zrobił przez gui ale nie umiem i chyba się nieda. Chyba że się mylę?

Jeszcze jeden rysunek poglądowy o co mi chodzi.

https://zapodaj.net/b5179c2006f79.jpg.html

W konfiguracji zrobionej przez gargoyle obecnie podłączając się do routera od neostrady nie mogę się dostać do routera od netii. Odwrotnie tak samo czyli jak się podepnę do routera netii to nie dostanę się do routera neostrady (nie mylić z modemem). Pula adresów ta sama jest więc w teorii bez trudu powinienem wejść. Podobnie jest z większością urządzeń.

Wywalić jednego z routerów nie mam jak. Jedynie wchodzi w grę jakieś przekierowanie do routera od netii internetu z neostrady. Tylko że nie mam pojęcia jak to zrobić. Poza tym osby napisał tutorial jak zrobić żeby w przypadku zaniku jednego neta włączał się zapasowy. W moim przypadku musiało by być tak że oba są włączone tylko przydzielone do odpowiednich maców. Ewentualnie w razie awarii cała reszta dostaje z tego który działa. To by miało sens. Ale jak to zrobić nie mam pojęcia. Jesteś tego pewien że dlatego są problemy i nie widzę urządzeń bo mam 2 routery z osobnym dostępem do internetu? Mogę wieczorem sprawdzić w sumie i jednemu odłączyć neta. Zobaczę co się będzie działo.

Jeśli nie zamierzasz łączyć ze sobą dwóch sieci to śmiało możesz z mojego konfiga dla serwera usunąć 3 końcowe linijki. Nie potrzebujesz też plików w katalogu /etc/openvpn/ccd/. Obydwa serwery mogą mieć dokładnie taką samą konfigurację i dokładnie te same klucze.
Do kompletu dorzucę jeszcze plik *.ovpn:

client
dev tun
proto udp
remote <wstaw adres publiczny serwera openvpn> 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ns-cert-type server
verb 3
cipher AES-256-CBC
comp-lzo
#remote-cert-tls server
key-direction 1
<ca>
-----BEGIN CERTIFICATE-----
... (tu plik /etc/openvpn/ca.crt)
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
... (tu fragment pliku klient.crt)
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
... (tu plik klient.key)
-----END PRIVATE KEY-----
</key>
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
... (tu plik plik /etc/openvpn/ta.key)
-----END OpenVPN Static key V1-----
</tls-auth>

Coś takiego mam w swoim smartphonie.

Do generowania kluczy używam pakietu easy-rsa.
Nie wiem, czy w GUI gargole robi się to prościej. Jak już pisałem. Nie używam GUI.

Panowie niema się co kłócić. Każdy sposób jest dobry który działa. W moim przypadku zrobienie przez gui działa ale tylko w 20% bo 80% urządzeń nie widzę. Będę jeszcze testował to wyłączając jeden z routerów jak powiedziałeś chociaż nie wydaje mi się żeby to pomogło. Skoro przez openvpn widzi urządzenie 1,2,3,4 to czemu miał by całej reszty nie widzieć? Ale oczywiście sprawdzę to i się przekonam. Nie jestem znawcą w vpn. Na sieciach się trochę znam ale z vpn to moje pierwsze spotkanie.

Edit

khain
Sprawdziłem Twoją teorię o tym że 2 router przeszkadza i dlatego nie widać części urządzeń. Wyłączyłem na tym routerze dostęp do internetu i jest to samo. Tylko nie wielka część urządzeń jest widoczna i działa.

Gr4nd0

Coś jest nie tak u mnie z Twoimi skryptami. Próbowałem je zaaplikować i mi się telefon nie chciał połączyć po wgraniu tych skryptów. Dopisałem po prawej moje pytania.

To tak jak pisałem wcześniej i dawałem screeny moja konfiguracja openvpn wygląda tak.

https://zapodaj.net/13dbb08ef8af4.jpg.html

Jest w niej dopuszczony dostęp do urządzeń w sieci lan.

Teoretycznie mógłbym się zgodzić z tym firewallem na końcu ale to nie to. Mam w sieci dekoder na enigmie na którym niema żadnego firewalla. Na niego też dostać się nie mogę. Musi być inny problem.

client-config-dir ccd
route 192.168.0.0 255.255.255.0        # IP sieci po stronie klienta
route 10.8.0.0    255.255.252.0        # link do VPN-ów

to jest potrzebne tylko wtedy gdy komputer kowal jest routerem do sieci 192.168.0.X. Jeśli do serwera łączy się tylko pojedynczy komputer to pomiń te linijki

/etc/openvpn/ccd/kowal

ifconfig-push 10.8.1.1 10.8.1.2
iroute 192.168.0.0 255.255.255.0

jak wyżej

/etc/config/openvpn                            = etc/openvpn/client_conf/kowal/kowal.conf?????????????????????u mnie jest taka lokalizacja

Nie to musi być /etc/config/openvpn bo to jest plik konfiguracyjny klienta OpenVPN dla OpenWRT czyli dla naszych popularnych routerków. Ten plik jest w formacie uci. OpenVPN na linuksie (w tym również OpenWRT) poszukuje plików /etc/openvpn/*.conf i z nich odczytuje konfigurację. Robi/robił tak niezależnie od uci. Ja dla routera z OpenWRT preferuję uci więc w /etc/openvpn/ nie zapisuję plików *.conf. Całą konfigurację robię w /etc/config/*. Jeśli coś pójdzie nie tak, zawsze możesz wycofać zmiany. A w ostateczności zrestartować router. Polecenie

# uci commit ...

wykonujesz jak już wszystko działa.

option dh '/etc/openvpn/dh1024.pem'
    option cipher 'AES-256-CBC'                     mam inny rodzaj klucza     cipher  BF-CBC         keysize   128

Dziś, tak krótkie klucze nie są bezpieczne.

option remote kowal.******.com # IP twojego serwera OpenVPN     (czy tu trzeba dodać też port??????????????)

Jeśli serwer używa standardowego portu 1194 to nie musisz nic dodawać. Osobiście nie widzę powodu by zmieniać port.

option ping '15'
option ping_restart '60'

To jest potrzebne tylko w celu automatycznego nawiązywania połączenia.

PS. Dla jakiego komputera (system operacyjny) potrzebujesz ten konfig?

Ponawiam pytanie:
Klientem jest końcówka (komputer albo smartphone) czy router? Klientem łączysz się z Internetu do openvpn czy z sieci lokalnej routera z Gargoyle?
Oraz czy sieć za serwerem openvpn to 192.168.1.0 255.255.255.0 ?

1. Klientem jest końcówka czyli smartphone lub komputer na ten moment (przyszłości router). Pisałem to już wcześniej.
2. Klientem łącze się przez internet. Czyli     komputer -> client vpn -> internet -> server openvpn na routerze gargoyle -> moja sieć
3. W sieci za serverem openvpn jest adresacja z puli 192.168.1.X (!!!!ewentualnie!!!! jest też sieć 192.168.0.X ale nie jest konieczna dla mnie).