Возможно ли подключиться к PPTP-клиенту

[The_Immortal]

Здравствуйте!

На роутере Keenetic II (сеть 192.168.1.0/24) поднят PPTP-сервер . К нему подключается клиент, которому присваивается IP 172.168.1.33. У клиента доступ к серверной сети есть, но не наоборот - т.е. к клиенту никак не подключиться. Я пробовал назначать для PPTP-клиента IP из той же подсети (например, 192.168.1.100), но и это не помогло...

[r13]

Курить это https://zyxel.ru/kb/4214/ в части маршрутов и сетевого экрана

[The_Immortal]

Благодарю!

Покурил, но не вышло

Может быть, подскажете?..

 

В общем, есть две сети ЛС#1 (192.168.1.0/24) и ЛС#2. Как посмотреть набор IP у ЛС#2 я, к своему стыду, не знаю, поэтому скину урезанный ipconfig с машины из ЛС#2:

Адаптер PPP Inet:

   IPv4-адрес. . . . . . . . . . . . : 192.168.33.72(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.255
   Основной шлюз. . . . . . . . . : 0.0.0.0
   DNS-серверы. . . . . . . . . . . : 91.210.204.153

Ethernet adapter Ethernet:

   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.32.64(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.128
   Основной шлюз. . . . . . . . . : 192.168.32.1
   DHCP-сервер. . . . . . . . . . . : 192.168.32.1
   DNS-серверы. . . . . . . . . . . : 91.210.204.153
   Основной WINS-сервер. . . . . . . : 192.168.32.1

Как видно, у ПК из ЛС#2 два соединения - одно это ЛС, другое - Интернет-соединение. Т.е. получается, что у ЛС#2: 192.168.32.0/25 (да?), что, собственно, я и ввожу в маршрут:

Далее пытаюсь из ЛС#1 обратиться к компьютеру из ЛС#2 (через пинг) по IP 192.168.32.64, но тщетно

Фаервол на время теста на машине из ЛС#2 отключен.

Вероятно, я неправильно определяю маршрут (адрес сети назначения и маску подсети). Но увы, не знаю, где именно косяк.

Будьте добры, кто соображает в данном деле, помогите, решить проблему...

Спасибо!

P.S. На всякий случай прилагаю route print с машины из ЛС#2:

Скрытый текст

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0         On-link     192.168.33.72     21
          0.0.0.0          0.0.0.0     192.168.32.1    192.168.32.64   4245
    91.210.207.48  255.255.255.240     192.168.32.1    192.168.32.64   4246
        127.0.0.0        255.0.0.0         On-link         127.0.0.1   4531
        127.0.0.1  255.255.255.255         On-link         127.0.0.1   4531
  127.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
       172.16.0.0      255.255.0.0      192.168.1.1      172.16.1.33     21
      172.16.1.33  255.255.255.255         On-link       172.16.1.33    276
   178.65.208.150  255.255.255.255         On-link     192.168.33.72     21
      192.168.1.0    255.255.255.0         On-link       172.16.1.33     21
    192.168.1.255  255.255.255.255         On-link       172.16.1.33    276
      192.168.4.0    255.255.255.0     192.168.32.1    192.168.32.64   4246
     192.168.32.0  255.255.255.128         On-link     192.168.32.64   4501
    192.168.32.64  255.255.255.255         On-link     192.168.32.64   4501
   192.168.32.127  255.255.255.255         On-link     192.168.32.64   4501
   192.168.32.128  255.255.255.240     192.168.32.1    192.168.32.64   4246
    192.168.33.72  255.255.255.255         On-link     192.168.33.72    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1   4531
        224.0.0.0        240.0.0.0         On-link     192.168.32.64   4501
        224.0.0.0        240.0.0.0         On-link     192.168.33.72     21
        224.0.0.0        240.0.0.0         On-link       172.16.1.33    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
  255.255.255.255  255.255.255.255         On-link     192.168.32.64   4501
  255.255.255.255  255.255.255.255         On-link     192.168.33.72    276
  255.255.255.255  255.255.255.255         On-link       172.16.1.33    276
===========================================================================

 

 

Edited November 21, 2016 by The_Immortal

[r13]

скорее всего со стороны клиента работает файвол который блокирует входящие пакеты из сети роутера.надо с эти разбираться.

маршрут нормальный.

[IgaX]

3 часа назад, The_Immortal сказал:

которому присваивается IP 172.168.1.33

м.б. 172.16.1.33 ?

[r13]

2 минуты назад, IgaX сказал:

м.б. 172.16.1.33 ?

Судя по таблице маршрутов да )

[The_Immortal]

Да, обшибся, спасибо! Исправил, но эффекта никакого. Вообще забыл также добавить, что ЛС#2 также находится за роутером, доступа к которому нема. Видимо, проблема в этом? Я что-то надеялся, что раз туннель установлен, то всё получится...

Edited November 21, 2016 by The_Immortal

[The_Immortal]

Хм... При этом доступ к ПК (который находится в ЛС#2) из ЛС#1 получается по IP 172.16.1.33!  Т.е. из ЛС#1 проходит пинг до 172.16.1.33. Так и должно быть?

Edited November 21, 2016 by The_Immortal

[Lordmaster]

Может правила NAT?

[The_Immortal]

В смысле проброс портов или что? А как он тут поможет?

[IgaX]

5 минут назад, The_Immortal сказал:

Хм... При этом доступ к ПК (который находится в ЛС#2) из ЛС#1 получается по IP 172.16.1.33!  Т.е. из ЛС#1 проходит пинг до 172.16.1.33. Так и должно быть?

Вы устанавливаете соединение к ЛС#1 с виндового клиента? Если с виндового, то мост от туннельного соединения к подключению локальной сети делали?

[Lordmaster]

13 минуты назад, The_Immortal сказал:

В смысле проброс портов или что? А как он тут поможет?

Без пробросав портов у меня не срабатывал пинг от кинетика до кинетика по pptp. После создания правил на 80 порт, на доступ к сети (445 порт и прочие), у мен начали пинговаться узлы и я смог увидеть сеть за кинетиком. Могу ошибаться, конечно же, но все же мне такой подход помог

[The_Immortal]

3 часа назад, IgaX сказал:

Вы устанавливаете соединение к ЛС#1 с виндового клиента?

Да, у меня все ПК на винде.

3 часа назад, IgaX сказал:

мост от туннельного соединения к подключению локальной сети делали?

Эм... Ну всё, что я делал - это выше, на скрине...

Напомню, что с ПК, находящегося в ЛС#2, все устройства ЛС#1 доступны.

Edited November 21, 2016 by The_Immortal

[IgaX]

1 час назад, The_Immortal сказал:

Напомню, что с ПК, находящегося в ЛС#2, все устройства ЛС#1 доступны.

ну так с одного ПК, а остальных - нет, верно? насколько я помню, самое простое и при определенных условиях - это открыть "Сетевые подключения", выбрать там нужные: по идее, Ваш VPN там будет, PPP Inet, Ethernet .. вот выбираете нужные два (VPN, Ethernet) и создаете "bridge", он же "мост", по факту нечто виртуальное через что оно все будет(?) бегать в теории.

если нужен доступ только к клиенту в ЛС#2, то и адресуйте на ip клиента, который выдает сервер в ЛС#1 (что у Вас уже и получается).

вроде бы ничего не пропустил
м.б. напутал, давно было, часть неправда)

[The_Immortal]

17 минут назад, IgaX сказал:

ну так с одного ПК, а остальных - нет, верно?

Именно так.

17 минут назад, IgaX сказал:

создаете "bridge", он же "мост"

Э нет, VPN-соединение в мост не оформить Даже соответствющего контекстного меню не появляется. А вот две сетевые карты в мост оформить можно, но это не мой случай.

18 минут назад, IgaX сказал:

если нужен доступ только к клиенту в ЛС#2, то и адресуйте на ip клиента, который выдает сервер в ЛС#1 (что у Вас уже и получается).

Ну это да, работает... В принципе, имея доступ к одной машине (клиенту) я могу получить доступ и ко всем остальным (через интерактивное управление), но ведь должен быть способ попасть внутрь ЛС всё же...

[IgaX]

39 минут назад, The_Immortal сказал:

Э нет, VPN-соединение в мост не оформить Даже соответствющего контекстного меню не появляется

молодой был, видимо, много лун прошло 

по идее, можно попробовать покопать в сторону Tap-windows как это делает клиент OpenVPN: https://openvpn.net/index.php/open-source/downloads.html

м.б. заставит видеть подключение как вирт.адаптер, который уже можно будет в мост включить, но сам не пробовал, поэтому на свой страх и риск.

и вроде иметь ввиду это (если не заведется): https://support.microsoft.com/ru-ru/kb/302348

ну, все что знал - все сказал (с) 
удачи!

Edited November 22, 2016 by IgaX

[The_Immortal]

6 часов назад, IgaX сказал:

можно попробовать покопать в сторону Tap-windows как это делает клиент OpenVPN

О, вариант! Только вот можно ли организовать на Keenetic II OpenVPN-сервер? У меня среди компонентов такой штуки нету

[IgaX]

53 минуты назад, The_Immortal сказал:

можно ли организовать на Keenetic II OpenVPN-сервер

это уже лучше в ветках opkg покурить и поспрашивать

[IgaX]

1 час назад, The_Immortal сказал:

О, вариант

можно еще попробовать покурить форвард на виндовом клиенте: 

netsh interface portproxy add v4tov4 listenport= listenaddress= connectport= connectaddress=

[The_Immortal]

Продолжаю биться с проблемой. На данный момент ЛС#1 находится под ведомством Keenetic, а ЛС#2 - под Asus RT-N16 (с прошивкой DD-WRT). Соответственно, хотелось бы связать эти два устройства между собой. Мне подсказали следующую инструкцию. Правда, мне также порекомендовали залить на Кинетик DD-WRT (ибо в статье оба устройства на одной прошивке), но по-моему, это перебор В общем, в статье всё понятно за исключением одной вещи. Там на стороне сервера прописывается маршрут для пересылки пакетов, предназначенных для ЛС#2 (VPN-клиента):

route add -net 192.168.2.0 netmask 255.255.255.0 gw 172.16.1.1

В данном примере 172.16.1.1 - это шлюз VPN-сервера ЛС#1. А вот какой у Keenetic'а будет адрес VPN-сервера? Вот тут предлагается сделать маршрут и в качестве шлюза указывать IP, который принимает VPN-клиент (пусть это будет как в примере - 172.16.1.2). Тогда маршрут (синтаксис условный) на ЛС#1 в моем безнадежном случае будет иметь следующий вид:

route add -net 192.168.2.0 netmask 255.255.255.0 gw 172.16.1.2

Окей, пусть так. Но теперь на роутере ЛС#2 я также должен прописать маршрут для отправки пакетов, предназначенных для ЛС#1, через VPN-канал. Окей, пробуем:

route add -net 192.168.1.0 netmask 255.255.255.0 gw 172.16.1.2

Т.е. получается, что у нас и VPN-сервер и VPN-клиент будет иметь один и тот же IP (172.16.1.2) ?

Какой-то бред... Помогите, пожалуйста, распутать меня.

 

Резюмирую в картинках.

NDMSv2 (настройка PPTP-сервера): где здесь указывается адрес VPN-сервера?

DD-WRT (настройка PPTP-сервера): здесь всё четко и понятно, имеется "Server IP".

 

Спасибо!

Edited November 24, 2016 by The_Immortal

[IgaX]

58 минут назад, The_Immortal сказал:

Какой-то бред... Помогите, пожалуйста, распутать меня

Для начала решите, какой из роутеров будет выступать в роли сервера, а какой в роли клиента.

Настройка клиента на NDMSv2 (начиная с "Настройка Keenetic#2"):
https://zyxel.ru/kb/4214/

Настройка клиента на DD-WRT:
https://www.dd-wrt.com/wiki/index.php/Static_PPTP_VPN_Client#Configure_PPTP_Client

Но насколько я помню, Вы с локальной машины из ЛС#2 выходите в интернет вообще через PPP на виндовом клиенте, а не через роутер Asus RT-N16.

Поэтому либо сначала думать над топологией сети, либо учить Asus пользоваться PPP для выхода в инет и на нем же поднимать PPTP клиент до VPN-сервера на Кинетике. К тому времени понимание маршрутов придет само собой.

[Le ecureuil]

4 часа назад, The_Immortal сказал:

Продолжаю биться с проблемой. На данный момент ЛС#1 находится под ведомством Keenetic, а ЛС#2 - под Asus RT-N16 (с прошивкой DD-WRT). Соответственно, хотелось бы связать эти два устройства между собой. Мне подсказали следующую инструкцию. Правда, мне также порекомендовали залить на Кинетик DD-WRT (ибо в статье оба устройства на одной прошивке), но по-моему, это перебор В общем, в статье всё понятно за исключением одной вещи. Там на стороне сервера прописывается маршрут для пересылки пакетов, предназначенных для ЛС#2 (VPN-клиента):

route add -net 192.168.2.0 netmask 255.255.255.0 gw 172.16.1.1

В данном примере 172.16.1.1 - это шлюз VPN-сервера ЛС#1. А вот какой у Keenetic'а будет адрес VPN-сервера? Вот тут предлагается сделать маршрут и в качестве шлюза указывать IP, который принимает VPN-клиент (пусть это будет как в примере - 172.16.1.2). Тогда маршрут (синтаксис условный) на ЛС#1 в моем безнадежном случае будет иметь следующий вид:

route add -net 192.168.2.0 netmask 255.255.255.0 gw 172.16.1.2

Окей, пусть так. Но теперь на роутере ЛС#2 я также должен прописать маршрут для отправки пакетов, предназначенных для ЛС#1, через VPN-канал. Окей, пробуем:

route add -net 192.168.1.0 netmask 255.255.255.0 gw 172.16.1.2

Т.е. получается, что у нас и VPN-сервер и VPN-клиент будет иметь один и тот же IP (172.16.1.2) ?

Какой-то бред... Помогите, пожалуйста, распутать меня.

 

Резюмирую в картинках.

NDMSv2 (настройка PPTP-сервера): где здесь указывается адрес VPN-сервера?

DD-WRT (настройка PPTP-сервера): здесь всё четко и понятно, имеется "Server IP".

 

Спасибо!

В NDMS PPTP-сервер работает сразу на всех доступных интерфейсах, потому явно указывать адрес не нужно.

[The_Immortal]

21 час назад, Le ecureuil сказал:

В NDMS PPTP-сервер работает сразу на всех доступных интерфейсах, потому явно указывать адрес не нужно.

В таком случае не очень понятно, что указывать в качестве шлюза при задании маршрута со стороны клиентского роутера...

Кстати, подскажите, пожалуйста, каким образом принудительно отключать подключенных VPN-пользователей на NDMS? "Системный монитор - VPN-сервер" - тут показывается информация лишь о текущих соединениях и ничего с ними сделать нельзя.

[r13]

3 минуты назад, The_Immortal сказал:

В таком случае не очень понятно, что указывать в качестве шлюза при задании маршрута со стороны клиентского роутера...

В качестве шлюза со строны клиента указывается созданный интерфейс (PPTP0 например) этого достаточно.

[The_Immortal]

1 час назад, r13 сказал:

В качестве шлюза со строны клиента указывается созданный интерфейс (PPTP0 например) этого достаточно.

Мне в качестве шлюза нужно прописать IP...

 

В общем, начну всё с начала, а то уже запутал и себя и остальных (предыдущие сообщения можно не учитывать).

Имеется две сети:
- ЛС#1: Zyxel Kenetic II (NDMSv2), Интернет на роутере через PPPoE (белый динамический IP + DDNS), внутр. сеть 192.168.1.0/24, VPN-сервер на роутере (пул 172.16.1.2-10)
- ЛС#2: ASUS RT-N16 (DD-WRT v3.0-r28788 mega (01/13/16)), Интернет на роутере через PPTP (серый IP), внутр. сеть 192.168.2.0/24, VPN-клиент на роутере

Необходимо эти две сети подружить через PPTP.

Настройки со стороны сервера

VPN-сервер:

Маршрут для доступа к ресурсам ЛС#2:

 

Настройки со стороны клиента

VPN-клиент:

 

Маршрут для доступа к ресурсам ЛС#2:

 

Далее идем на сервер и видим, что клиент подключился:

 

Но при этом ничего не пингуется:
- со стороны ЛС#1 к 172.16.1.2 (клиент VPN), 192.168.2.1 (роутер ЛС#2), 192.168.2.133 (ПК из ЛС#2) пинг не проходит;
- со стороны ЛС#2 к 192.168.1.1 (роутер ЛС#1), 192.168.1.36 (ПК из ЛС#1) пинг не проходит.

Не знаю уже, что и делать Хотя подозреваю, что к теме Zyxel'я это уже не имеет отношения, т.к. проблемы на стороне DD-WRT...

Edited November 25, 2016 by The_Immortal

[IgaX]

31 минуту назад, The_Immortal сказал:

- со стороны ЛС#2 к 192.168.2.1 (роутер ЛС#1), 192.168.1.36 (ПК из ЛС#1) пинг не проходит.

начните с этой стороны и больше внимательности.

роутер ЛС#1 все же, наверное, 192.168.1.1 - помните, что пинги могут блокироваться фаером.

39 минут назад, The_Immortal сказал:

VPN-клиент:

NAT, скорее всего, нужно включить.

И лучше дайте вывод tracert 192.168.1.36 c локальной машины из ЛС#2, а то все эти части мозаики по крупицам и так "мозг взрывают".

[Le ecureuil]

1 час назад, The_Immortal сказал:

Кстати, подскажите, пожалуйста, каким образом принудительно отключать подключенных VPN-пользователей на NDMS? "Системный монитор - VPN-сервер" - тут показывается информация лишь о текущих соединениях и ничего с ними сделать нельзя.

Пока эта функция не реализована, хоть и есть в отдаленном плане.

[ICMP]

2 часа назад, The_Immortal сказал:

Маршрут для доступа к ресурсам ЛС#2:

На этой картинке Gateway оставьте пустым а за месту ANY в поле Interface выберите PPTP 

Подключитесь заново и попробуйте со стороны 192.168.2.1 зайти на 192.168.1.1

[The_Immortal]

IgaX,

4 часа назад, IgaX сказал:

роутер ЛС#1 все же, наверное, 192.168.1.1

Пардон, обшибся. Вы как всегда очень внимательны - радует, что есть пользователи, которые не читают по диагонали

4 часа назад, IgaX сказал:

помните, что пинги могут блокироваться фаером.

Со стороны Зикселя ничего блокироваться не может (об этом ниже).

4 часа назад, IgaX сказал:

NAT, скорее всего, нужно включить.

Если включить данную опцию, то пропадает Интернет на ЛС#2 - отсюда делаю вывод, что эта штука нужна для ретрансляции Интернет-соединения, что в моем случае не нужно.

4 часа назад, IgaX сказал:

И лучше дайте вывод tracert 192.168.1.36 c локальной машины из ЛС#2

> tracert 192.168.1.36

Трассировка маршрута к 192.168.1.36 с максимальным числом прыжков 30

  1    <1 мс    <1 мс    <1 мс  DD-WRT [192.168.2.1]
  2     *        *        *     Превышен интервал ожидания для запроса.
  3     *        *        *     Превышен интервал ожидания для запроса.
  ...
 30     *        *        *     Превышен интервал ожидания для запроса.

Трассировка завершена.                            

 

4 часа назад, IgaX сказал:

все эти части мозаики по крупицам и так "мозг взрывают".

Я извиняюсь Стараюсь объяснять всё максимально обстоятельно...

 

ICMP,

2 часа назад, ICMP сказал:

На этой картинке Gateway оставьте пустым а за месту ANY в поле Interface выберите PPTP 

Подключитесь заново и попробуйте со стороны 192.168.2.1 зайти на 192.168.1.1

Gateway пустым я оставить не могу - ругается и просит значение от 0 до 255.

А в Interface доступны лишь следующие значения:

 

 

Диагностики ради решил подключиться к VPN-серверу с виндового клиента сети ЛС#2:

- со стороны ЛС#1 к 172.16.1.2 (клиент VPN), пинг проходит;
- со стороны ЛС#2 к 192.168.1.1 (роутер ЛС#1), 192.168.1.36 (ПК из ЛС#1) пинг проходит (это к теме фаерволов).

Смотрю таблицу маршрутов на этом ПК (при живом VPN-подключении):

Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.2.1    192.168.2.133     10
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
       172.16.0.0      255.255.0.0      192.168.1.1       172.16.1.2     11
       172.16.1.2  255.255.255.255         On-link        172.16.1.2    266
   178.65.210.164  255.255.255.255      192.168.2.1    192.168.2.133     11
      192.168.1.0    255.255.255.0         On-link        172.16.1.2     11
    192.168.1.255  255.255.255.255         On-link        172.16.1.2    266
      192.168.2.0    255.255.255.0         On-link     192.168.2.133    266
    192.168.2.133  255.255.255.255         On-link     192.168.2.133    266
    192.168.2.255  255.255.255.255         On-link     192.168.2.133    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.2.133    266
        224.0.0.0        240.0.0.0         On-link        172.16.1.2    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.2.133    266
  255.255.255.255  255.255.255.255         On-link        172.16.1.2    266

Винда додумалась самостоятельно сделать вот этот ключевой маршрут:

192.168.1.0    255.255.255.0         On-link        172.16.1.2     11

Теперь подключаюсь к ЛС#1 через встроенный клиент роутера и смотрю таблицу маршрутов на роутере (наконец-то додумался):

Что здесь интересно:

- 178.65.210 - это  VPN-сервер (что уж скрывать), он привязан к интерфейсу ppp0;

- второй подчеркнутый маршрут сделал сам DD-WRT и он почему-то привязан к ppp1;

- ну а последний подчеркнутый - это уже мой вышеобозначенный вклад.

Удаляю свой маршрут, пробую пинговать 192.168.1.1:

> ping 192.168.1.1

Обмен пакетами с 192.168.1.1 по с 32 байтами данных:
Ответ от 91.210.204.33: Заданный узел недоступен.

91.210.204.33 - а это уже что-то от Интернет-провайдера ЛС#2.

В случае, если я оставляю свой маршрут (как на скриншоте выше), то получаю в качестве ответа просто "Превышен интервал ожидания для запроса."

Edited November 25, 2016 by The_Immortal

[ICMP]

4 часа назад, The_Immortal сказал:

Пробовали в Operationg Mode выбрать Router и подключиться к Keenetic?