Froller Posted May 7, 2021 Share Posted May 7, 2021 Всем привет! Есть тоннель между 2я Zyxel Ultra (1 поколение) через Wireguard. Основная подсеть - 192.168.1.0/24 (Wireguard IP 192.168.6.1) Второстепенная - 192.168.2.0/24 (Wireguard IP 192.168.6.2) Также в основной подсети поднят PPTP VPN сервер - выдающий адреса из пула 192.168.1.78-87 Задача в том, чтобы клиент подключающийся к PPTP серверу имел доступ до сети 192.168.2.0/24 подключенной через WireGuard. Уже всю голову сломал) Подскажи, пож-та, как это можно реализовать? Quote Link to comment Share on other sites More sharing options...
dignus Posted May 8, 2021 Share Posted May 8, 2021 Кстати, есть этот же вопрос. У меня два кинетика соединены между собой по VPN. Из сетей соответствующих роутеров в сети друг к другу ходить можно. Но если подключиться к одному из них по VPN, в сеть другого роутера зайти не получается. В чем может быть дело? Спасибо! Quote Link to comment Share on other sites More sharing options...
Werld Posted May 8, 2021 Share Posted May 8, 2021 (edited) 1 час назад, dignus сказал: Кстати, есть этот же вопрос. У меня два кинетика соединены между собой по VPN. Из сетей соответствующих роутеров в сети друг к другу ходить можно. Но если подключиться к одному из них по VPN, в сеть другого роутера зайти не получается. В чем может быть дело? Спасибо! Чтобы клиентов впн-сервера кинетика пускало по маршруту в исходящее с этого роутера впн-соединение, нужно чтобы на этом исходящем впн-интерфейсе был признак ip global (в веб-интерфейсе галочка "Использовать для выхода в интернет") Только убедитесь, что приоритет ip global на этом интерфейсе ниже основного соединения к провайдеру, чтобы через впн не шел весь трафик. В 07.05.2021 в 12:33, Froller сказал: Задача в том, чтобы клиент подключающийся к PPTP серверу имел доступ до сети 192.168.2.0/24 подключенной через WireGuard. Уже всю голову сломал) Подскажи, пож-та, как это можно реализовать? У вас аналогично, убедитесь в наличие признака ip global на wg интерфейсе. Есть альтернативный способ, не требующий ip global, т.е. не требующий выставления галочки "Использовать для выхода в интернет". Этот способ заключается в навешивании ACL с разрешающими правилами на исходящий впн-интерфейс на out. Но делается это через cli, поэтому вам проще поставить одну галочку и все. Edited May 8, 2021 by werldmgn Quote Link to comment Share on other sites More sharing options...
dignus Posted May 11, 2021 Share Posted May 11, 2021 On 5/8/2021 at 6:11 PM, werldmgn said: Чтобы клиентов впн-сервера кинетика пускало по маршруту в исходящее с этого роутера впн-соединение, нужно чтобы на этом исходящем впн-интерфейсе был признак ip global (в веб-интерфейсе галочка "Использовать для выхода в интернет") Только убедитесь, что приоритет ip global на этом интерфейсе ниже основного соединения к провайдеру, чтобы через впн не шел весь трафик. Работает, но в таком случае нет доступа из второй сети (которая "используется для выхода в интернет") в первую (сеть клиента). Что можно сделать в этой ситуации? Quote Link to comment Share on other sites More sharing options...
Werld Posted May 11, 2021 Share Posted May 11, 2021 56 минут назад, dignus сказал: Работает, но в таком случае нет доступа из второй сети (которая "используется для выхода в интернет") в первую (сеть клиента). Что можно сделать в этой ситуации? Не совсем понял, нет доступа из сети сервера в сеть клиента? И что значит "в таком случае"? Без признака ip global доступ из второй сети есть? Quote Link to comment Share on other sites More sharing options...
dignus Posted May 15, 2021 Share Posted May 15, 2021 Верно; Устройство со стороны сервера не может обратиться к устройствам сети-клиента при установке признака ip global. Без этого признака устройства соединяются. Quote Link to comment Share on other sites More sharing options...
Werld Posted May 15, 2021 Share Posted May 15, 2021 1 час назад, dignus сказал: Верно; Устройство со стороны сервера не может обратиться к устройствам сети-клиента при установке признака ip global. Без этого признака устройства соединяются. Security-level какой у впн интерфейса на роутере впн-клиенте? Если public, то нужно разрешающее правило в межсетевом экране. По идее ip global никак не влияет на security-level, хотя возможно его установка выставила интерфейсу уровень public. Quote Link to comment Share on other sites More sharing options...
Tribal_ Posted June 14, 2021 Share Posted June 14, 2021 (edited) Подниму тему, только у меня ситуация с SSTP. Есть тоннель по SSTP между Keenetic VIVA и Keenetic EXTRA II К Keenetic VIVA по Wireguard подключается Android пир и сеть EXTRA II он не видит. Как это исправить? Выставлял галочку на VIVA "Использовать для входа в Интернет" - не помогло Edited June 14, 2021 by Tribal_ Quote Link to comment Share on other sites More sharing options...
vk11 Posted June 15, 2021 Share Posted June 15, 2021 11 час назад, Tribal_ сказал: Выставлял галочку на VIVA "Использовать для входа в Интернет" - не помогло Вам же нужен не интернет, а сеть, зачем ставите лишние галочки? Смотрите здесь: VPN-сервер SSTP и, возможно, здесь: Автоматическая отправка дополнительных маршрутов клиентам VPN-сервера Quote Link to comment Share on other sites More sharing options...
Tribal_ Posted June 16, 2021 Share Posted June 16, 2021 В 15.06.2021 в 08:09, vk11 сказал: Вам же нужен не интернет, а сеть, зачем ставите лишние галочки? Смотрите здесь: VPN-сервер SSTP и, возможно, здесь: Автоматическая отправка дополнительных маршрутов клиентам VPN-сервера К сожалению Ваши советы не помогли =( Quote Link to comment Share on other sites More sharing options...
Froller Posted June 17, 2021 Author Share Posted June 17, 2021 В 08.05.2021 в 18:11, werldmgn сказал: Чтобы клиентов впн-сервера кинетика пускало по маршруту в исходящее с этого роутера впн-соединение, нужно чтобы на этом исходящем впн-интерфейсе был признак ip global (в веб-интерфейсе галочка "Использовать для выхода в интернет") Только убедитесь, что приоритет ip global на этом интерфейсе ниже основного соединения к провайдеру, чтобы через впн не шел весь трафик. У вас аналогично, убедитесь в наличие признака ip global на wg интерфейсе. Есть альтернативный способ, не требующий ip global, т.е. не требующий выставления галочки "Использовать для выхода в интернет". Этот способ заключается в навешивании ACL с разрешающими правилами на исходящий впн-интерфейс на out. Но делается это через cli, поэтому вам проще поставить одну галочку и все. С галочкой заработало, но до последнего обновления 2.16.D.12.0-0. Теперь снова перестало. Подскажите, есть ли какое-то решение кроме ACL'ов в моем случае? Quote Link to comment Share on other sites More sharing options...
Werld Posted June 18, 2021 Share Posted June 18, 2021 11 час назад, Froller сказал: С галочкой заработало, но до последнего обновления 2.16.D.12.0-0. Теперь снова перестало. Подскажите, есть ли какое-то решение кроме ACL'ов в моем случае? Увы, не подскажу, т.к. не использую 2.16. По идее все должно быть как я писал. Quote Link to comment Share on other sites More sharing options...
dignus Posted July 17, 2021 Share Posted July 17, 2021 Понемногу возвращаюсь к этой теме. У меня два кинетика соединяются по L2TP/IPSEC. У обоих есть внешние ip. 1. «Клиентский» кинетик с сетью 192.168.0.0/24 2. «серверный» кинетик с сетью 192.168.10.0/24 Получилось будучи клиентом «клиентского» кинетика через галочку на стороне этого «клиентского» кинетика «Использовать для выхода в интернет» подключаться к сети «серверного» кинетика. Но если попробовать подключаться будучи клиентом «серверного» кинетика, в сети «клиентского» кинетика не попасть… Пробовал прописать на стороне «клиентского» Цитата crypto map VPNL2TPServer l2tp-server dhcp route 192.168.10.0/24 system configuration save И на стороне «серверного» Цитата crypto map VPNL2TPServer l2tp-server dhcp route 192.168.10.0/24 system configuration save Но это не помогло… Хочется, чтобы из всех сетей был доступ во все сети. Например, сторонний роутер подключается к одному из кинетиков, и внутренняя сеть этого роутера доступна всем остальным. Quote Link to comment Share on other sites More sharing options...
Кинетиковод Posted July 17, 2021 Share Posted July 17, 2021 45 минут назад, dignus сказал: Но если попробовать подключаться будучи клиентом «серверного» кинетика, в сети «клиентского» кинетика не попасть… Пропишите в клиентской сети маршрут в сеть L2TP сервера серверной сети. По умолчанию сеть 172... Quote Link to comment Share on other sites More sharing options...
Werld Posted July 17, 2021 Share Posted July 17, 2021 1 час назад, dignus сказал: crypto map VPNL2TPServer l2tp-server dhcp route 192.168.10.0/24 С l2tp/ipsec, в отличие от чистого ipsec, у вас есть интерфейс, через который вы можете прописывать маршруты, то есть вы можете использовать классическую маршрутизацию. В этом и преимущество l2tp/ipsec не нужно городить policy based routing. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.