OpenVPNサーバーを備えたDD-WRTルーター-単一サブネットホームネットワーク

老朽化したNetgearルーターをDD-WRTにアップグレードしたばかりで、ビルトインOpenVPNサーバーコンポーネントを使用して、自宅のプライベートシングルサブネットにサービスを提供したいと考えています。

だから私はこのセットアップを持っています：[public-Internet] ---- [dynamic dns host] <--- ISP ---> [DD-WRT / OpenVPN-Server router 192.186.0.1 with home private subnet 192.168.0.0/24クライアント]

パブリックインターネットまたはセキュリティで保護されていないWifiを使用しているときに、自宅のインターネット接続を安全に使用し、自宅のプライベートサブネットマシンに安全にアクセスできるようにしたいと考えています。

私のDD-WRTはOpenVPNサーバーになる能力を持っています。

これまでのところ、私が読んだガイドの多くは、OpenVPNクライアントに、単一のプライベートサブネットのアドレスとは異なるプライベートIPを持たせたいようです。それらの多くは、クライアントIPの10.xxxのようなものを指すようにしたいと思われます。

これが実際に機能するための要件ですか？

その10.xxxタイプのネットワークは、2番目のルーターが必要な実際の物理サブネットですか、それともDD-WRTのOpenVPNサーバーがそれ自体のために「作成」する仮想サブネットですか？

または、物理的に所有している単一のプライベートサブネットでこれをすべて実行できますか？

OpenVPNのセットアップに対する私の最初の進出についての洞察を、事前に感謝します。

openVPNのIPアドレスは、ホームネットワークのIP範囲と異なる必要があります。異なる場合、トラブルが発生します。

一方、openVPN IPアドレスは、openVPNサーバーと接続デバイス（ラップトップなど）の間でのみ使用されます。そのため、ラップトップには10.8.0.2が割り当てられ、openVPNサーバーには10.8.0.1が割り当てられます。両方のIPアドレスは（基本的に）VPNトンネル内にのみ存在します。その理由は、openVPNがサーバーとクライアントに仮想ネットワークインターフェイス（tun0など）を作成し、それらにIPアドレスを割り当てるからです。設定する「物理」ネットワーク10.8.0.0はありません。

あなたのホームIP範囲192.168.0.0/24へのルートを知るためにopenVPN（サーバーまたはクライアント）を設定できます。

• VPNを接続します
• ラップトップには、VPNトンネル用に10.8.0.2が割り当てられます
• ブラウザ、SSH、またはMicrosoftターミナルサービスを開くことができます
• 192.168.0.xを指すようにします

openVPNサーバー/ルーター自体は、10.8.0.1と192.168.0.1の2つのIPアドレスで認識されます。

ルートに対応するステートメントは次のとおりです。

push "route 192.168.0.0 255.255.255.0"

サーバー上で

route 192.168.0.0 255.255.255.0

それぞれクライアント上で。必要なのはそのうちの1つだけです。あなたのシナリオでは、どの設定ファイルを置くかは好みの問題です。iptablesでのIPマスカレード（openWRTは既に持っていると思います）とともに、リモートからホームネットワークに接続し、リモートからインターネットを閲覧することもできます。簡単な例：

Your laptop -> unencrypted, public WIFI -> internet

その後になります

Your laptop -> encrypted VPN -> openWRT -> internet.

そのため、そのWIFI内の暗号化されていない実際のWIFIプロバイダーまたはスニファーは、トラフィックを読み取ることができません。

たとえば、ポートスキャン、スクリプトキディなどから保護するために、openVPNサーバーを別のポートで実行する場合はport 9411、例として使用します。

（編集：この回答の下にあるコメントからの質問と回答をこの回答に追加しました。）