Доступ к локальной сети за L2TP/IPsec

[xxPchelxx]

Добрый день! Образовалась такая проблема. Есть центральный офис с Keenetic Giga 2.06.1 прошивка 3.07. Локальная сеть 192.168.10.0. Keenetic Giga ip 192.168.10.1. На нем поднят VPN L2TP/IPsec пул адресов 172.16.2.10-16.

С другой стороны стоит Keenetic Omni II 2.06.1 с прошивкой 2.08. Локальная сеть 192.168.3.0. Keenetic Omni ip 192.168.3.1. При подключении к VPN получает адрес 172.16.2.13.

После подключения VPN я могу зайти в веб морду Keenetic Giga, пингую 192.168.10.1. В обратную сторону пингую 192.168.3.1. Но не могу пингануть никакие устройства за пределами тоннеля.

Пробовал прописывать статику, прописывать правила в файерволл - никак. Не пингуется и все. Могу скинуть любую инфу, фото, да хоть конфиг целиком. Только помогите разобраться!

Edited February 17, 2022 by xxPchelxx

[krass]

7 минут назад, xxPchelxx сказал:

Добрый день! Образовалась такая проблема. Есть центральный офис с Keenetic Giga 2.06.1 прошивка 3.07. Локальная сеть 192.168.10.0. На нем поднят VPN L2TP/IPsec пул адресов 172.16.2.10-16.

С другой стороны стоит Keenetic Omni II 2.06.1 с прошивкой

С какой прошивкой и в чем проблема? явно какая-то недосказанность...

[krass]

34 минуты назад, xxPchelxx сказал:

С другой стороны стоит Keenetic Omni II 2.06.1 с прошивкой 2.08.

Ну это у вас совсем уж дремучая прошивка

Вот здесь инструкция как обновиться: https://forum.keenetic.com/announcement/5-где-взять-тестовые-сборки/

 

[xxPchelxx]

Чтобы было понятнее, наделал скриншотов. Скрины и настройки произвожу с ноутбука, подключенного проводом к keenetic omni ii, с ip 192.168.3.34. Скриншоты и командная строка запускается с него.

Начнем с Keenetic GIGA:

Сам VPN L2TP/IPsec:

 

Открыт доступ для пользователей в домашнюю сеть:

 

 

Все маршруты, что имеются на маршрутизаторе:

 

 

Теперь Omni II:

 

 

VPN нормально подключается, омни получает адрес 172.16.2.13, который закреплен за ним на сервере.

 

 

ВОПРОС! А какой адрес тогда у Гига? Ни один из адресов пула не пингуется с Омни.

 

Маршруты Омни:

 

Тоннель работает. Я вижу ГИГА на конце тоннеля, могу зайти в веб интерфейс

 

 

IP 192.168.10.118 - ip адрес устройства в сети ГИГА. Я могу пропинговать его в сети 192.168.10.0, но не могу из сети за VPN, т.е 192.168.3.0. 

Где ошибка? Какие изменения в маршруты нужно сделать? Могу дать удаленку по энидеск, посомтрите сами.

 

Edited February 18, 2022 by xxPchelxx

[xxPchelxx]

Эх, специалисты... Хоть бы кто ответил...

Нашел колхозное решение. Обратил внимание на маску туннеля /32. Получается что весть туннель это один ip адрес. Поменял адрес туннеля на адрес из 10 подсети 192.168.10.0 /24 и устройства с другой стороны туннеля увидели сеть без каких-либо изменений. Но вот из 10 сети в сети удаленных устройств по прежнему нет доступа дальше роутера.

Однако для моих целей было достаточно в одну сторону иметь доступ до сервера, поэтому на этом работы прекратились. Все ещё подозреваю во всех бедах кривую логику маршрутизации. вшитую под капотом.