Jump to content
Sign in to follow this  
werldmgn

Вопрос по маршрутизации через впн

Recommended Posts

Здравствуйте. Есть Extra (2.15.C.2.0-2) На ней поднят l2tp/ipsec сервер.

l2tpserv.png.7613e02f14dbc7195fd36b8dd5c7a12d.png

 

К этому серверу подключается клиент Lite3 rev.a (v2.08(AAUQ.4)C2

l2tpserv.png.a586743e8c23ed9455eb792b5473f7a8.png

На клиенте, т.е. на Lite 3 есть разрешение для icmp на нужном интерфейсе

2.jpg.f7c168f9ece04ed7e35ea3078b1eb17f.jpg

 

На сервере автоматически появляется маршрут: 

3.png.9aefe2db40607f1bf1e1fd752d0eee06.png

Теперь проблемы. Для начала первое, не пингуется Lite 3 (т.е. клиент). При попытке пинговать айпишник Lite3 (172.16.2.34) с ПК из домашней сети Экстры пинг не проходит. Также есть удаленный ПК на винде, который при подключении к этому же l2tp серверу получает ip 172.16.2.33 и с него также не проходит пинг до Lite3.

Все это при том, что, с самой Экстры  со страницы "Диагностика" айпишник Lite'a прекрасно пингуется. Кроме того, с ПК в домашней сети Экстры пингуется 172.16.2,33, т.е. удаленный ПК. Есть подозрение, что раз так, то проблема где-то у Lite, но ведь с веб морды экстры все пингуется... В общем не понятно. Поэтому и нужна помощь знатоков, что я делаю не так. Статью Маршрутизация сетей через VPN читал.

Edited by werldmgn

Share this post


Link to post
Share on other sites

Маршрута в удалённую сеть на сервере что-то не видно. Пропишите маршрут и перезапустите l2tp сервер.

Share this post


Link to post
Share on other sites

Да, спасибо за совет. Только вот мне не нужен доступ в удаленную сеть за Lite'ом, мне не понятно почему нет доступа к нему самому по адресу, который он получил от впн сервера. Дописал тем не менее, как советовали, но доступ к роутеру впн-клиенту не появился.

1.thumb.png.a334bc1c22c94efec8a95c94cdfc85d2.png

Share this post


Link to post
Share on other sites
5 минут назад, werldmgn сказал:

Да, спасибо за совет. Только вот мне не нужен доступ в удаленную сеть за Lite'ом, мне не понятно почему нет доступа к нему самому по адресу, который он получил от впн сервера. Дописал тем не менее, как советовали, но доступ к роутеру впн-клиенту не появился.

Так может на клиенте помимо icmp ещё и tcp открыть?

Share this post


Link to post
Share on other sites

Да я для начала хочу хотя бы пинга добиться до роутера этого. Прочтите еще раз пожалуйста внимательно первый пост. Я понимаю, что чтобы зайти на роутер нужно будет на нем еще и tcp открыть. Но даже с открытым icmp пинга до него нет. Вот, открыл, но ничего не поменялось. 

1.png.a323b3ca73f748ba1d7f527c5f086a05.png

Edited by werldmgn

Share this post


Link to post
Share on other sites
25 минут назад, werldmgn сказал:

Да я для начала хочу хотя бы пинга добиться до роутера этого. Прочтите еще раз пожалуйста внимательно первый пост. Я понимаю, что чтобы зайти на роутер нужно будет на нем еще и tcp открыть. Но даже с открытым icmp пинга до него нет. Вот, открыл, но ничего не поменялось.

Есть предположение, что из-за крайне старого ПО на клиенте он не получает маршрут в сеть сервера. Пропишите этот маршрут вручную, либо если есть возможность обновите ПО на актуальную версию. Хотя почему не ходят пинги между 172.16.2.33 и 172.16.2.34 не совсем понятно.

Share this post


Link to post
Share on other sites

Маршрут в сеть сервера клиент получает. 

image.png.b37313e670f9bc0db14d73c30f50feb9.png

Только не понимаю, как наличие на клиенте маршрута в сеть сервера поможет устройству в сети сервера получить доступ до самого клиента? 

В том-то и прикол, что с устройств в сети сервера не пингуется 172.16.2.34 (адрес на l2tp интерфейсе клиента, получаемый от сервера.) Также он не пингуется с других ПК- клиентов подключаемых к l2tp серверу. При этом с веб-морды самого сервера(Extra KN17-10) этот же адрес пингуется!

image.png.7c7f039c7e1f006fc901f675ab378476.png

 

Для Keenetic Lite 3 rev.a прошивка v2.08(AAUQ.4)C2 самая последняя.

Share this post


Link to post
Share on other sites
7 минут назад, werldmgn сказал:

Маршрут в сеть сервера клиент получает. 

image.png.b37313e670f9bc0db14d73c30f50feb9.png

Это маршрут до сервера, а не в сеть сервера.

7 минут назад, werldmgn сказал:

Только не понимаю, как наличие на клиенте маршрута в сеть сервера поможет устройству в сети сервера получить доступ до самого клиента?

В данном случае имеет место быть 3 сети: локальная сеть, сеть сервера и удалённая сеть. Между этими сетями должна быть настроена маршрутизация. Маршрутизация на сервере между сетью сервера и локальной сетью настроена по умолчанию. А вот клиент знает только про сеть сервера, но не про локальную сеть за сервером. Поэтому у вас сервер и клиент пингуются, а компы и клиент нет. Клиент просто не знает маршрут в локальную сеть за сервером и не может ответить на пинг. Для решения данной проблемы сервер отправляет клиентам маршрут в локальную сеть за собой, но комп 172.16.2,33 маршрут получает, а Лайт в силу старого ПО нет. Пропишите маршрут в сеть за сервером вручную и Лайт сможет отвечать компам на пинги. 

16 минут назад, werldmgn сказал:

Для Keenetic Lite 3 rev.a прошивка v2.08(AAUQ.4)C2 самая последняя.

Официальная да, но драфт и легаси к вашим услугам. В курилке в архиве enpa всё расписано.

  • Upvote 1

Share this post


Link to post
Share on other sites

Да, простите, затупил это и правда маршрут до узла. Прописал маршрут до сети сервера, как рекомендовали, и пинги пошли. Большое спасибо за помощь. 

Share this post


Link to post
Share on other sites

Такс, не совсем все решено. Из локальной сети сервера пинги до клиента пошли, действительно дело было в отсутствии маршрута на клиенте. Но вот непосредственно между  172.16.2.33 и 172.16.2.34 так и не ходят, и здесь не понятно, по идее они в одной сети, воообще без проблем должны друг друга видеть.

 

Share this post


Link to post
Share on other sites
4 минуты назад, werldmgn сказал:

Такс, не совсем все решено. Из локальной сети сервера пинги до клиента пошли, действительно дело было в отсутствии маршрута на клиенте. Но вот непосредственно между  172.16.2.33 и 172.16.2.34 так и не ходят, и здесь не понятно, по идее они в одной сети, воообще без проблем должны друг друга видеть.

 

С этим тоже разобрался. Опять же просто добавил маршрут до сети 172.16.2.0/24 на Lite и все заработало. Еще раз спасибо Кинетиковод за помощь.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...