Jump to content

tarakanium

Forum Members
  • Content Count

    23
  • Joined

  • Last visited

Posts posted by tarakanium


  1. 11 час назад, Кинетиковод сказал:

    Пропишите в клиентской L2TP сети маршрут в Openvpn сеть через интерфейс L2TP, т.е. в сеть 192.168.101.0.

    А зачем? Если мне надо иметь доступ с OpenVPN клиента в сеть L2TP. Прописал, но конечно ничего не заработало.

    А маршрут для OpenVPN клиента я не понимаю как писать. Уже существует маршрут 

    route 192.168.200.0/255.255.255.0 (сеть за клиентом L2TP) через шлюз 192.168.100.2

    но он почему-то действует для локальной (домашней) сети роутера, а для OpenVPN  клиентов не работают.
    Пробовал еще пушить роуты, через конфиг OpenVPN, но тоже не работает.


  2. Обяъясню еще раз.

    Есть два сервера на Кинетике. OpenVPN и L2TP.

    К L2TP подключается клиент. Ему присваивается статический адрес. За этим клиентом есть сеть. В эту сеть прописано статическое правило роутинга через этого клиента. И оно работает, но ТОЛЬКО для домашней сети роутера.

    Есть еще OpenVPN клиент. Теперь надо ему организовать доступ в сеть, которую предоставляет L2TP клиент сервера. Но непонятно как это сделать. Почему-то роут не работает для OpenVPN сети.


  3. 9 часов назад, Кинетиковод сказал:

    У вас L2TP это клиент или сервер? Не пойму что за L2TP интерфейс вы маркировали.

     

    L2TP сервер. И надо через одного из клиентов этого сервера пускать трафик. Потому что за этим клиентом - подсеть.

    Сейчас перепроверил - действительно у сервера видимо нет интерфейса. Но как же тогда срабатывают маршруты с локальной сети Keenetic?

    route 192.168.200.0/255.255.255.0 (сеть за клиентом L2TP) через шлюз 192.168.100.2


  4. Добрый день.

    Имеется на руках Keenetic Extra2.

    Он выступает как VPN сервер. На нем запущено два вида подключений. 

    Цитата

     

    Первый - L2TP over IPSec - 192.168.100.0/255.255.255.0

    Второй - OpenVPN - 192.168.101.0/255.255.255.0

     

    Оба промаркировал как приватные. Снял запрет на хождение трафика между приватными интерфейсами.

    Прописал маршрут на доступ в сеть за L2TP - route 192.168.200.0/255.255.255.0 (сеть за клиентом L2TP) через шлюз 192.168.100.2 (статический адрес клиента). Фаерволл на клиенте открыл.

    Домашняя сеть за роутером отлично ходит в эту сеть, вся сеть ей 192.168.200.0/255.255.255.0 доступна.

    Как бы теперь сделать так, чтобы любой клиент OpenVPN сети 192.168.101.0/255.255.255.0 имел доступ не только в локальную сеть роутера, но и в сеть 192.168.200.0/255.255.255.0 ? Трафик для клиента весь заворачивается в OpenVPN через 

    push "redirect-gateway def1"

     

    Я понимаю, что надо прописать маршрут, но не понимаю какой.

    Видимо уже существующий маршрут 

    Цитата

    route 192.168.200.0/255.255.255.0 (сеть за клиентом L2TP) через шлюз 192.168.100.2

    не работает для тех, кто подключился через OpenVPN. 

     

    Спасибо за ответ.


  5. 6 часов назад, Le ecureuil сказал:

    А скиньте пожалуйста self-test, когда все настроено и подключено, но не работает. Проверим.

     

    Вроде бы помог полный ребут обоих роутеров. Буду тестировать и наблюдать.

    Спасибо.

     

    L2TP действительно работает очень хорошо (по скорости). В районе 10 Мбит\с уверенно держится, иногда чуть больше. Этого мне вполне достаточно.


  6. 4 часа назад, Le ecureuil сказал:

    Транзитная сеть не должна пересекаться с объединяемыми сетями. Иначе может быть что угодно. Если посмотрите внимательно, то даже в БЗ настраивается именно так.

    Там настроено, только у меня маршрут на сервере не работает. Или я не понимаю как его настроить.

    Ставлю маршрут 192.168.1.0/255.255.255.0 через шлюз 192.168.2.2 (это адрес клиента в ВПН в транзитной сети). Стоит автоматическое назначение роута, иначе не сохранить. Стоит тип соединения - любая сеть (ибо для L2TP сети там нет). Дожидаюсь подключения клиента, пингую, пинги улетают на провайдера.

    sending ICMP ECHO request to 192.168.1.1...
    PING 192.168.1.1 (192.168.1.1) 56 (84) bytes of data.
    "Destination unreachable" ICMP packet received from 217.23.74.хх (type = 3, code = 1).
    "Destination unreachable" ICMP packet received from 217.23.74.хх (type = 3, code = 1).

    Почему так - я не понимаю.

     

    Для VPN сети там был в меню роутов интерфейс. Для L2TP на сервере - нету. Видимо из-за того, что оно создается через Приложения.

     

    Снимок экрана_2018-12-07_04-40-20.png

    Это окно можно сохранить в таком виде только, если нажать ДОБАВЛЯТЬ АВТОМАТИЧЕСКИ. Но этот маршрут НИКОГДА не ставновится активным. Такое впечатление, что сервер не понимает, что клиент 192.168.2.2 подключился. Хотя он исправно пингуется.

     

    Но стоит только маршрут прописать через смешанную сеть для транзита - маршрут примениться.

    192.168.0.102 туда отлично вписывается. Ибо видимо попадает под валидацию как хост из домашней сети.

     

     

    Такие вот дела. Толи я что-то не понимаю, толи бага какая-то.

     

     

     


  7. 8 минут назад, r13 сказал:

    В действующих маршрутах он есть?

    Нет. Видимо он не понимает, что подключился клиент 192.168.2.2.

     

    Смог настроить только переделав сеть.

    192.168.0.1 - 192.168.0.100 отдал под сеть сервера.

    192.168.0.100-192.168.0.110 отдал под L2TP VPN

    192.168.1.1 - под сеть клиента.

     

    С маршрутом 192.168.1.0/255.255.255.0 через 192.168.0.102 (клиент в L2TP VPN) все стало работать. 

    Видиом глюк какой-то с маршрутами или с валидацией правил в веб-интерфейсе.


  8. Снова я с вопросом, уж извините.

    Не получается все равно объединить сети через L2TP.

    Значит такая конфигурация.

    Сеть за сервером. 192.168.0.0/255.255.255.0

    Сеть за клиентом. 192.168.1.0/255.255.255.0

    Сеть для L2TP VPN 192.168.2.0/255.255.255.0

     

    Клиент подключается к серверу, видит сеть за ним. Имеет доступ в 192.168.0.0/255.255.255.0.

    На клиенте прописаны правила, который разрешают любой трафик TCP/UPD через L2TP VPN.

    С на сервере прописан маршрут 192.168.1.0/255.255.255.0 через шлюз 192.168.2.2 (это адрес клиента в ВПН). Стоит автоматическое назначение роута, иначе не сохранить.

    Но с сервера виден только 192.168.2.2 (клиент в ВПН), но сеть за ним недоступна.

     

    При этом пинги с сервера

    Цитата
    sending ICMP ECHO request to 192.168.1.1...
    PING 192.168.1.1 (192.168.1.1) 56 (84) bytes of data.
    "Destination unreachable" ICMP packet received from 217.23.74.хх (type = 3, code = 1).
    "Destination unreachable" ICMP packet received from 217.23.74.хх (type = 3, code = 1).

    Почему он это выкидывает на провайдера? А не в тунель Л2ТП на 192.168.2.2?

     

    В чем моя ошибка? Как открыть сеть клиента для сервера?


  9. 2 минуты назад, Кинетиковод сказал:

    После прописывания маршрута на сервере сделайте ему выкл/вкл.

    Спасибо, помогло. 

    Буду тестировать такую конфигурацию сети. Буду надеятся, что она будет быстрее OpenVPN и будет стабильной.


  10. Ок. Сделал я L2TP\IPSec.

    С клиента (4G III) настроил маршрутизацию. Теперь мне доступна сеть за Extra II.

    Но вот обратно, чтобы клиенты за Extra II видели сеть за 4G III не могу. Нет параметров маршрутизации в L2TP\IPSec. Этот интерфейс просто не появляется при прописывании правил маршрутизации. Как быть?


  11. 3 минуты назад, Кинетиковод сказал:

    А l2tp не пробовали? 

    Нет, не пробовал. 

    А разве там есть режим, чтобы соединить две сети? Там вроде только клиент\сервер. И получится, что сеть за 4G III будет смотреть во вторую сеть только одиним адресом, и надо будет крутить POrt Forwading. А это неприемлимо. Надо, чтобы две сети могли общаться напрямую.


  12. 1 минуту назад, Кинетиковод сказал:

    Вы имеете ввиду короткую паузу при переподключении? Неужели это так критично?

    Нет. Тунель просто приходит в негодность. Он отмечен как живой, но трафик по нему не ходит. И так до перезапуска.

     

    Ок, полная формулировка задачи. 

    Имеется два роутера 4G III Rev B. За ним подсеть. В нем мобильный интернет с серым адресом. Инет стабильно выдает 30-40 МБит\с.

    Второй роутер Extra II. За ним подсеть. В нем проводной инет 100 Мбит\с с белым динамическим адресом. 

    Необходимо объединить эти две подсети и сделать их доступными друг другу напрямую. Т.е. без всякого NAT и перенаправления портов.

     

    Что я нашел для этого.

    1. IPSec Site-to-Site. 

    Работает отлично, но примерно раз в 3-10 дней зависает намертво. Роутер видет ее как живую сеть, но пакеты в нее не идут. Лечится выключением и включение на любом конце сети (на любом роутере). Не помогает ничего, ни обнаружение неработающего пира, не проверки. Сеть тупо разваливается. Предлополжительно, это происходит когда на мобильном инете меняется адрес. Или когда меняется на обоих сторонах тунеля.

    2. Объединение сетей через OpenVPN.

    Отлично работает, но крайне медленно. TCP работает устойчиво, UDP работает менее устойчиво.

    Но вот со скоростью беда. Она не подымается выше 3 Мбит\с.


  13. 36 минут назад, KorDen сказал:

    Зачем TCP? Зачем, в конце концов, OpenVPN? Может у вас там еще dev tap? Подумайте о IPsec

     

    Зачем TCP - так стабильнее на текущем соединении. UPD VPN между роутерами регулярно разваливается, TCP работает отлично.

    Зачем OpenVPN. Потому что он работает. Существует лишь один работающий механизм VPN в Кинтетике, которым можно объединить две сети. IPSec Site-to-Site регулярно просто подвисает, когда на обоих сторонах тунеля сменились динамические адреса. А OpenVPN это отрабатывает на отлично.


  14. Добрый день.

    Имею связку Keenetic 4G III и Extra II.

    Между ними TCP OpenVPN. Скоростей выше 3 Мбит\с добиться не удается.

    Пробовал играться с механизмами шифрования. AES-128-CBC/AES-256-CBC - без разницы.

    Хотелось бы выжать между ними хотя бы 20 Мбит\с. Это реально? Какое шифрование имеет аппаратную поддержку для OpenVPN? 

     

    Вариант 2.

    А если заменить 4G III на что-то более мощное - проблему можно решить? Или надо оба роутера для быстрого OpenVPN менять на свежие Ультры?

     

    Спасибо.


  15. 3 часа назад, Le ecureuil сказал:

    В теории можно, но для этого нужно руками многое настраивать.

    Сейчас думаем, как это лучше всего сделать с простой настройкой.

    А нет ли инструкции для этого?

    В принципе, не сильно пугает отредактировать конфиг или настроить через телнет. Была бы инструкция на это. Я так понимаю, что простой настройки ждать очень долго, а задача появилась уже сейчас.

    Спасибо.


  16. Добрый день!

    Имеется два устройства Keenetic 4G III.

    Первый работает в основном режиме, подключает интернет через ЛТЕ модем, раздает через Wi-Fi на две сети: основную и гостевую.

    Второй работает в режиме усилителя, расширяя действие беспроводной сети. Однако, режим усилителя позволяет усиливать только ОДНУ сеть.

    Есть ли возможность усиливать также сигнал гостевой сети или для этого необходимо покупать третье устройство?


  17. 16 минут назад, Le ecureuil сказал:

    Маршрутизация в и через site-to-site невозможна. Используйте для этого туннели over IPsec.

    А можно по-подробнее?

    Что мне лучше предпринять для организации такой сети.

    1. Есть есть за Keenetic 4G III - 192.168.49.0/255.255.255.0 (доступ в Инет через LTE, без белого адреса)

    2. Есть сеть за Extra II - 192.168.54.0/255.255.255.0 (доступ в Инет через проводного провайдера, белый статический адрес)

    Надо соединить эти две подсети для доступа одной подсети в другую и наоборот через Инет. А также для доступа удаленного клиента в обе эти сети через что-то защищенное.

    Как это лучше все организовать? Или это невозможно?


  18. Добрый день.

     

    Имеется роутер Keenetic Extra II на прошивке 2.10.

    У роутера поднято 2 IPSec подключения.

    1. IPSec Site-to-Site, которое объединяет сеть Extra II с сетью 4G III. Адреса подсетей 192.168.49.0/255.255.255.0 - 192.168.54.0/255.255.255.0

    2. IPSec VPN (IPsec Virtual IP) для доступа с Windows машины извне. Адрес подсети 192.168.52.0/255.255.255.0

    Как сделать так, чтобы клиенту из IPsec Virtual IP была доступна подсети из Site-to-Site (192.168.49.0/255.255.255.0 - 192.168.54.0/255.255.255.0), NAT?

    На данный момент, с настройками по умолчанию, у клиента доступ только в свою подсеть 192.168.52.0/255.255.255.0, домашнюю сеть 192.168.54.0/255.255.255.0, к интернету через NAT, но никакого доступа к подсеть из Site-toSite 192.168.49.0/255.255.255.0.

    Я так понимаю, что нужно делать тунель 192.168.49.0/255.255.255.0 - 192.168.52.0/255.255.255.0, но не могу понять какими средствами.

    Спасибо.

×
×
  • Create New...