Jump to content

Клиент VPN PPTP --> Wireguard тоннель


Recommended Posts

Всем привет!

Есть тоннель между 2я Zyxel Ultra (1 поколение) через Wireguard.

Основная подсеть - 192.168.1.0/24 (Wireguard IP 192.168.6.1)

Второстепенная - 192.168.2.0/24 (Wireguard IP 192.168.6.2)

Также в основной подсети поднят PPTP VPN сервер - выдающий адреса из пула 192.168.1.78-87

 

Задача в том, чтобы клиент подключающийся к PPTP серверу имел доступ до сети 192.168.2.0/24 подключенной через WireGuard.

Уже всю голову сломал) Подскажи, пож-та, как это можно реализовать?

Link to comment
Share on other sites

Кстати, есть этот же вопрос. У меня два кинетика соединены между собой по VPN. Из сетей соответствующих роутеров в сети друг к другу ходить можно. Но если подключиться к одному из них по VPN, в сеть другого роутера зайти не получается. В чем может быть дело?
Спасибо!

Link to comment
Share on other sites

 

1 час назад, dignus сказал:

Кстати, есть этот же вопрос. У меня два кинетика соединены между собой по VPN. Из сетей соответствующих роутеров в сети друг к другу ходить можно. Но если подключиться к одному из них по VPN, в сеть другого роутера зайти не получается. В чем может быть дело?
Спасибо!

Чтобы клиентов впн-сервера кинетика пускало по маршруту в исходящее с этого роутера впн-соединение, нужно чтобы на этом исходящем впн-интерфейсе был признак ip global (в веб-интерфейсе галочка "Использовать для выхода в интернет") Только убедитесь, что приоритет ip global на этом интерфейсе ниже основного соединения к провайдеру, чтобы через впн не шел весь трафик. 

В 07.05.2021 в 12:33, Froller сказал:

Задача в том, чтобы клиент подключающийся к PPTP серверу имел доступ до сети 192.168.2.0/24 подключенной через WireGuard.

Уже всю голову сломал) Подскажи, пож-та, как это можно реализовать?

У вас аналогично, убедитесь в наличие признака ip global на wg интерфейсе. 

Есть альтернативный способ, не требующий ip global, т.е. не требующий выставления галочки "Использовать для выхода в интернет". Этот способ заключается в  навешивании ACL с разрешающими правилами на исходящий впн-интерфейс на out. Но делается это через cli, поэтому вам проще поставить одну галочку и все.

Edited by werldmgn
Link to comment
Share on other sites

On 5/8/2021 at 6:11 PM, werldmgn said:

Чтобы клиентов впн-сервера кинетика пускало по маршруту в исходящее с этого роутера впн-соединение, нужно чтобы на этом исходящем впн-интерфейсе был признак ip global (в веб-интерфейсе галочка "Использовать для выхода в интернет") Только убедитесь, что приоритет ip global на этом интерфейсе ниже основного соединения к провайдеру, чтобы через впн не шел весь трафик. 

Работает, но в таком случае нет доступа из второй сети (которая "используется для выхода в интернет") в первую (сеть клиента). Что можно сделать в этой ситуации?

Link to comment
Share on other sites

56 минут назад, dignus сказал:

Работает, но в таком случае нет доступа из второй сети (которая "используется для выхода в интернет") в первую (сеть клиента). Что можно сделать в этой ситуации?

Не совсем понял, нет доступа из сети сервера в сеть клиента? И что значит "в таком случае"? Без признака ip global доступ из второй сети есть?

Link to comment
Share on other sites

Верно; Устройство со стороны сервера не может обратиться к устройствам сети-клиента при установке признака ip global. Без этого признака устройства соединяются.

Link to comment
Share on other sites

1 час назад, dignus сказал:

Верно; Устройство со стороны сервера не может обратиться к устройствам сети-клиента при установке признака ip global. Без этого признака устройства соединяются.

Security-level какой у впн интерфейса на роутере впн-клиенте? Если public, то нужно разрешающее правило в межсетевом экране. По идее ip global никак не влияет на security-level, хотя возможно его установка выставила интерфейсу уровень public.

Link to comment
Share on other sites

  • 5 weeks later...

Подниму тему, только у меня ситуация с SSTP.

Есть тоннель по SSTP между Keenetic VIVA и Keenetic EXTRA II

К Keenetic VIVA по Wireguard подключается Android пир и сеть EXTRA II он не видит.

Как это исправить?

Выставлял галочку на VIVA "Использовать для входа в Интернет" - не помогло

Edited by Tribal_
Link to comment
Share on other sites

11 час назад, Tribal_ сказал:

Выставлял галочку на VIVA "Использовать для входа в Интернет" - не помогло

Вам же нужен не интернет, а сеть, зачем ставите лишние галочки?

Смотрите здесь: VPN-сервер SSTP и, возможно, здесь: Автоматическая отправка дополнительных маршрутов клиентам VPN-сервера

Link to comment
Share on other sites

В 15.06.2021 в 08:09, vk11 сказал:

Вам же нужен не интернет, а сеть, зачем ставите лишние галочки?

Смотрите здесь: VPN-сервер SSTP и, возможно, здесь: Автоматическая отправка дополнительных маршрутов клиентам VPN-сервера

К сожалению Ваши советы не помогли =(

Link to comment
Share on other sites

В 08.05.2021 в 18:11, werldmgn сказал:

 

Чтобы клиентов впн-сервера кинетика пускало по маршруту в исходящее с этого роутера впн-соединение, нужно чтобы на этом исходящем впн-интерфейсе был признак ip global (в веб-интерфейсе галочка "Использовать для выхода в интернет") Только убедитесь, что приоритет ip global на этом интерфейсе ниже основного соединения к провайдеру, чтобы через впн не шел весь трафик. 

У вас аналогично, убедитесь в наличие признака ip global на wg интерфейсе. 

Есть альтернативный способ, не требующий ip global, т.е. не требующий выставления галочки "Использовать для выхода в интернет". Этот способ заключается в  навешивании ACL с разрешающими правилами на исходящий впн-интерфейс на out. Но делается это через cli, поэтому вам проще поставить одну галочку и все.

С галочкой заработало, но до последнего обновления 2.16.D.12.0-0. Теперь снова перестало. Подскажите, есть ли какое-то решение кроме ACL'ов в моем случае?

Link to comment
Share on other sites

11 час назад, Froller сказал:

С галочкой заработало, но до последнего обновления 2.16.D.12.0-0. Теперь снова перестало. Подскажите, есть ли какое-то решение кроме ACL'ов в моем случае?

Увы, не подскажу, т.к. не использую 2.16. По идее все должно быть как я писал.

Link to comment
Share on other sites

  • 5 weeks later...

Понемногу возвращаюсь к этой теме. У меня два кинетика соединяются по L2TP/IPSEC. У обоих есть внешние ip. 

1. «Клиентский» кинетик с сетью 192.168.0.0/24

2. «серверный» кинетик с сетью 192.168.10.0/24

Получилось будучи клиентом «клиентского» кинетика через галочку на стороне этого «клиентского» кинетика «Использовать для выхода в интернет» подключаться к сети «серверного» кинетика. Но если попробовать подключаться будучи клиентом «серверного» кинетика, в сети «клиентского» кинетика не попасть… 
Пробовал прописать на стороне «клиентского»

Цитата

crypto map VPNL2TPServer l2tp-server dhcp route 192.168.10.0/24

system configuration save

И на стороне «серверного»

Цитата

 

crypto map VPNL2TPServer l2tp-server dhcp route 192.168.10.0/24

system configuration save

 


Но это не помогло… Хочется, чтобы из всех сетей был доступ во все сети. Например, сторонний роутер подключается к одному из кинетиков, и внутренняя сеть этого роутера доступна всем остальным.

Link to comment
Share on other sites

45 минут назад, dignus сказал:

Но если попробовать подключаться будучи клиентом «серверного» кинетика, в сети «клиентского» кинетика не попасть… 

Пропишите в клиентской сети маршрут в сеть L2TP сервера серверной сети. По умолчанию сеть 172...

Link to comment
Share on other sites

1 час назад, dignus сказал:

crypto map VPNL2TPServer l2tp-server dhcp route 192.168.10.0/24

С l2tp/ipsec, в отличие от чистого ipsec, у вас есть интерфейс, через который вы можете прописывать маршруты, то есть вы можете использовать классическую маршрутизацию. В этом и преимущество l2tp/ipsec не нужно городить policy based routing. 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...