Jump to content
  • 0
Евгений Аношин

Доступ к компам в локальной сети через VPN - не работает

Question

Здравствуйте. 

Есть проблема, которую я не понимаю.

Имеется Ultra с прошивкой 2.14.C.0.0-4. Работает VPN сервер для подключения к локальной сети. В локальной сети есть компьютер, которому обрезан доступ в интернет. В результате клиент VPN не может достучаться до этого компьютера (конкретно, не проходит ping, не подключается по rdp). Как только разрешаем проблемному компу доступ в интернет, сразу клиент VPN начинает его видеть. Гостевых сетей нет, клиент VPN получает ip-адрес из той-же подсети, что и проблемный компьютер.

Куда смотреть и что можно подкрутить.

  • Confused 2

Share this post


Link to post
Share on other sites

11 answers to this question

Recommended Posts

  • 0
5 часов назад, Евгений Аношин сказал:

В локальной сети есть компьютер, которому обрезан доступ в интернет. В результате клиент VPN не может достучаться до этого компьютера (конкретно, не проходит ping, не подключается по rdp). Как только разрешаем проблемному компу доступ в интернет, сразу клиент VPN начинает его видеть.

Вы издеваетесь? Вы настроили ЗАПРЕТ и хотите иметь доступ? Для Интернета этого ПК не существует, он изолирован от него в обе стороны.
Если я вас понимаю правильно вы хотите впихнуть не впихуемое. 

  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0
6 часов назад, Евгений Аношин сказал:

Куда смотреть и что можно подкрутить.

Вашу проблему решит openvpn tap.

Share this post


Link to post
Share on other sites
  • 0
1 час назад, Fandor сказал:

Для Интернета этого ПК не существует, он изолирован от него в обе стороны.

Но VPN не совсем Интернет :)

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0
13 минуты назад, ajs сказал:

Но VPN не совсем Интернет :)

И что это меняет? 

Share this post


Link to post
Share on other sites
  • 0
7 часов назад, Евгений Аношин сказал:

VPN получает ip-адрес из той-же подсети, что и проблемный компьютер.

Вот такое вот очень нежелательно делать в любом случае, затрудняет разбор проблем и могут быть произвольные глюки

 

Share this post


Link to post
Share on other sites
  • 0

Разрешайте доступ из конкретной сети. В Межсетевом экране

Edited by metahor

Share this post


Link to post
Share on other sites
  • 0
9 hours ago, Fandor said:

Для Интернета этого ПК не существует, он изолирован от него в обе стороны.
Если я вас понимаю правильно вы хотите впихнуть не впихуемое. 

Нет, Вы понимаете не правильно. Взаимодействие происходит в локальной сети, т.к. с того момента, как клиент VPN получает адрес из пула, принадлежащего локальной сети, он должен являться полноправным членом данной сети. Изолированный от интернета ПК в тоже самое время никоим образом (по крайней мере, явно) не изолирован от всех устройств локальной сети, в том числе и от клиентов VPN. В данном же случае прослеживается, имхо, неявная изоляция части устройств. Я такую логику могу понять, но только если она где-то декларирована. Но пока что не нашёл этому подтверждения и по этому считаю, что данное поведение маршрутизатора не правильно. 

Если Вы считаете иначе, пожалуйста, аргументируйте свою точку зрения поподробней.

7 hours ago, KorDen said:

Вот такое вот очень нежелательно делать в любом случае, затрудняет разбор проблем и могут быть произвольные глюки

Возможно, в данном случае так и произошло. Но, с моей точки зрения, выделение клиентов VPN в отдельную сеть является следующим этапом паранойи и требует уже создания DMZ с выносом туда всех требуемых ресурсов из локальной сети. В принципе это хорошее решение, но более трудоёмкое. В данном конкретном случае моя лень пока что побеждает паранойю и говорит, что без этого можно было бы и обойтись. Если не удастся найти причины текущего поведения маршрутизатора, возможно, пойду по этому пути.

На всякий случай (вдруг мы с Вами друг друга не допоняли) поясню - пулы адресов клиентов VPN и устройств локальной сети не пересекаются, а просто принадлежат одной сети. Грубый пример: все устройства локальной сети имеют адреса 192,168,1,10-100, а клиенты VPN - 192.168.1.150-200

54 minutes ago, metahor said:

Разрешайте доступ из конкретной сети. В Межсетевом экране

Поясните, пожалуйста, как это сделать, когда пул адресов VPN уже принадлежит локальной сети.

9 hours ago, Кинетиковод said:

Вашу проблему решит openvpn tap.

Проверю это по возможности, спасибо.

Share this post


Link to post
Share on other sites
  • 0
19 hours ago, Le ecureuil said:

Пока точная настройка доступа для VPN не реализована.

Как мне кажется, здесь всё же проблема не настройках доступа для VPN. Нет, не правильно выразился. В данном случае, с моей точки зрения, не требуется точной настройки. Проблема, опять  - как мне кажется, где-то во внутренней реализации.  Я в текущих условиях свою проблему решил, заменив подключение клиентов к роутеру с PPTP на L2TP. Но вот логического объяснения я такому поведению не вижу. Не должно такого быть.

 

On 2/22/2019 at 11:26 PM, Кинетиковод said:

Вашу проблему решит openvpn tap.

Увы, это проблему не решило. Не нашёл я на своём Кинетике Openvpn-сервера, только клиента. Установку пакетов OPKG не рассматривал.

Share this post


Link to post
Share on other sites
  • 0
9 часов назад, Евгений Аношин сказал:

Не нашёл я на своём Кинетике Openvpn-сервера, только клиента.

Клиент - он же сервер. Отличие только в конфиге.

Edited by plagioklaz

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...