T3ch Cat Posted February 17, 2021 Share Posted February 17, 2021 (edited) Привет Вопрос будет с довольно длинной преамбулой (в аттаче схема человека, первый раз в жизни рисовавшего сеть) Есть по сути три точки выхода в интернет: - Keenetic 1 (Air) - Keenetic 2 (Giga) - vps сервер Белый ip на Keenetic 1 и vps Keenetic 2 стоит за провайдерским роутером, на котором нету белого ip В сети Keenetic 2 все основные ресурсы: стоят сервера с веб сервисами, samba и бэкапами На VPS стоят веб сервисы На keenetic 1 поднят pptp vpn сервер, к нему подключаются keenetic 2 и vps, нужно доступ между ними - присутствует Что я хочу получить: - единую сеть, где можно из любой точки (keenetic 1, keenetic 2, vps) получить доступ к ресурсам любой другой точки - vpn (L2TP? хотелось бы тот, который нативно поддерживается в ios/macos, либо openvpn) сервер на vps для подключения с ноутбука/телефона ко всей сети - прямой доступ между keenetic 1 и keenetic 2 (чтобы не гонять трафик через vps, если нужно например забэкапиться из сети keenetic 1 в сеть keenetic 2) - доступ к провайдерском роутеру из любой точки сети Вопросы: - достаточно ли будет pptp для межсетевого взаимодействия (включая мобильные устройства), чтобы не прописывая роуты на дейвасах иметь доступ к ресурсам любой подсети? (прерывистые линии - непрямой доступ, который "хотелось бы чтобы работал") - не получается подключиться к провайдерскому роутеру (192.168.0.1) из сети keenetic 1 (192.168.3.0/24) (по сути цепочка должна выглядеть так: устройство - keenetic 1 - pptp до keenetic 2 - роутинг на провайдерский роутер - провайдерский роутер), keenetic 2 подключается к pptp на keenetic 1 как клиент 172.168.1.2 и имеет прямой доступ к провайдерскому роутеру при этом прописаны роуты: - keenetic 1: 192.168.0.0/24 -> 172.168.1.2 - keenetic 2: 192.168.0.0/24 -> 192.168.0.1 - любые рекомендации, что можно улучшить в сети Спасибо Edited February 17, 2021 by T3ch Cat clarification Quote Link to comment Share on other sites More sharing options...
Werld Posted February 18, 2021 Share Posted February 18, 2021 12 часа назад, T3ch Cat сказал: - не получается подключиться к провайдерскому роутеру (192.168.0.1) из сети keenetic 1 (192.168.3.0/24) (по сути цепочка должна выглядеть так: устройство - keenetic 1 - pptp до keenetic 2 - роутинг на провайдерский роутер - провайдерский роутер), keenetic 2 подключается к pptp на keenetic 1 как клиент 172.168.1.2 и имеет прямой доступ к провайдерскому роутеру при этом прописаны роуты: - keenetic 1: 192.168.0.0/24 -> 172.168.1.2 - keenetic 2: 192.168.0.0/24 -> 192.168.0.1 На кинетике 2 есть маршрут в сеть кинетика 1(192.168.3.0/24)? На впн-интерфейсе кинетика 2 есть разрешающие правила межсетевого экрана? На кинетике 1 есть маршрут в сеть кинетика 2 (192.168.1.0/24)? Quote Link to comment Share on other sites More sharing options...
T3ch Cat Posted February 18, 2021 Author Share Posted February 18, 2021 42 minutes ago, werldmgn said: На кинетике 2 есть маршрут в сеть кинетика 1(192.168.3.0/24)? На впн-интерфейсе кинетика 2 есть разрешающие правила межсетевого экрана? На кинетике 1 есть маршрут в сеть кинетика 2 (192.168.1.0/24)? На кинетике 2 есть маршруты к кинетику 1 и его сети: На впн интерфейсе кинетика 2 выставлено правило для pptp vpn соединения На кинетике 1 пользовательские маршруты: На кинетике 1 в таблице роутинга: Quote Link to comment Share on other sites More sharing options...
KorDen Posted February 18, 2021 Share Posted February 18, 2021 - PPTP похоронить - Для связи с Giga использовать IPIPoverIPsec или IPsec IKEv2. У них наименьший оверхед среди других вариантов с IPsec, особенно в сравнении с популярным L2TP/IPSec - Для связи с Air можно попробовать использовать Wireguard, может быть быстрее. Либо те же ***IPsec - маршруты в любом случае придется прописать на роутерах и VPS. Для подключения мобил-ноутов L2TP/IPsec сойдет как наиболее универсальное. Quote Link to comment Share on other sites More sharing options...
T3ch Cat Posted February 18, 2021 Author Share Posted February 18, 2021 1 minute ago, KorDen said: - PPTP похоронить - Для связи с Giga использовать IPIPoverIPsec или IPsec IKEv2. У них наименьший оверхед среди других вариантов с IPsec, особенно в сравнении с популярным L2TP/IPSec - Для связи с Air можно попробовать использовать Wireguard, может быть быстрее. Либо те же ***IPsec - маршруты в любом случае придется прописать на роутерах и VPS. Для подключения мобил-ноутов L2TP/IPsec сойдет как наиболее универсальное. спасибо за ответ. pptp потому что использовал инструкцию с сайта :) до этого был ipsec туннель между кинетиками - почему-то работал иногда нестабильно, отваливался коннект. сейчас месяц висит pptp - "ни единого разрыва". но смотрю в сторону openvpn (благо инструкция тоже есть для кинетиков). "- Для связи с Giga использовать IPIPoverIPsec или IPsec IKEv2" - не очень понял этот пункт. откуда-куда связь? потому что на нем нету белого ip, доступ к нему хочу получать через роутинг с кинетика 1 и vps "- Для связи с Air можно попробовать использовать Wireguard, может быть быстрее. Либо те же ***IPsec" - обязательно попробую wg "- маршруты в любом случае придется прописать на роутерах и VPS." - да, это не проблема, сеть маленькая, реконфигураций особо нету, один раз прописал и забыл "Для подключения мобил-ноутов L2TP/IPsec сойдет как наиболее универсальное." - будет ли достаточно при этом статических роутов на всех узлах? с макбуком наблюдаю иногда странную историю - не хочет роутиться (по крайней мере пока жил на ipsec туннеле между кинетиками - так было, с pptp пока не видел проблем), притом что ios нормально всё видит в это же время. рестарт макбука - всё чинится. насколько я узнал, роуты может пушить клиенту openvpn - есть ли смысл тогда использовать его для доступа, чтобы не иметь проблем с роутингом? Quote Link to comment Share on other sites More sharing options...
Werld Posted February 18, 2021 Share Posted February 18, 2021 @T3ch Cat Думаю, еще на роутере провайдера нужен маршрут до 192.168.3.0/24. Так как, по идее, кинетик 2 пересылая пакеты от кинетик 1 не натит их, то до провайдерского роутера они доходят с адресом источника из сети 192.168.3.0/24, а значит чтобы отправлять ответы, этому роутеру тоже нужен маршрут. Quote Link to comment Share on other sites More sharing options...
KorDen Posted February 18, 2021 Share Posted February 18, 2021 (edited) 2 часа назад, T3ch Cat сказал: не очень понял этот пункт. откуда-куда связь Имеется ввиду любые связи с девайсом (исходящие, входящие - не важно) лучше делать на указанных протоколах с точки зрения производительности. У Giga криптоускоритель, можно на практике получить 150 (до 200 в вакууме) мбит/с в IPsec, Wireguard вроде чуть медленнее У Air IPsec выдаст 25-30 мбит/с и там Wireguard может быть быстрее С макбуками не подскажу, OpenVPN тормозной и лучше использовать как последний вариант Edited February 18, 2021 by KorDen Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.