OpenVPN сервер, L2TP сервер + L2TP клиент. Проблемы с доступом в домашний сегмент за OpenVPN.

[Pop70]

Вобщем, дачная и домашняя сети объединены в одну"домашнюю" с общими адресами через OpenVPN (tap) (дома viva, на даче omni-2)

Для доступа в домашнюю сеть с мобильных устройств на viva поднят L2TP сервер. 

Плюс, так же на viva создан клиент L2TP для обхода блокировок некоторых сайтов через ВПН на VDS (не знаю влияет ли на ситуацию)

Проблема в том, что клиенту L2TP, подключающемуся к viva, не доступны хосты объединённой домашней сети. Во всяком случае, ни один из хостов в сегменте за OpenVPN. К самому viva доступ есть (по ip из "домашнего" сегмента)

Селфтест в следующем посту.

Edited May 20, 2022 by Pop70

[yuoras]

Могу предположить , что у Вас не прописаны маршруты

Вот вам в пример

https://help.keenetic.com/hc/ru/articles/360001390359-Маршрутизация-сетей-через-VPN

[Pop70]

2 часа назад, yuoras сказал:

Могу предположить , что у Вас не прописаны маршруты

Вот вам в пример

https://help.keenetic.com/hc/ru/articles/360001390359-Маршрутизация-сетей-через-VPN

Это не мой случай.

Мне не нужен доступ из "домашней" сети к клиенту L2TP. Мне нужен доступ клиента к домашней сети. Которая "одна сеть" 192.168.10.0/24.

Галочка в вебе стоит. Доступ только к маршрутизатору.

[Pop70]

Нет. Всёже, к сегменту домашней сети, подключенному к роутеру напрямую доступ есть.

 

А к той же сети за OpenVPN мостом - нет

 

 

Хотя, это одна сеть, и с самого viva доступ есть ко всей сети

Проблема точно не в маршрутах

Edited May 21, 2022 by Pop70

[Pop70]

Ха!

Ещё веселее!

Просканировал подсеть

192.168.10.11, 

192.168.10.99,

192.168.10.21 - подключены напрямую к viva,

А вот остальные 3, как ни странно, из удалённого сегмента - т.е., за OpenVPN мостом.

При этом, в сети сейчас всего 18 устройств, 12 из которых недоступны клиенту L2TP

 

 

Edited May 21, 2022 by Pop70

[Pop70]

В 20.05.2022 в 16:55, yuoras сказал:

Могу предположить , что у Вас не прописаны маршруты

Вот вам в пример

https://help.keenetic.com/hc/ru/articles/360001390359-Маршрутизация-сетей-через-VPN

Это называется "Век живи, век учись, и всёравно дураком помрёшь"

Естественно, на втором роутере не было маршрута к клиентам L2TP первого роутера.

Сбило с толку то, что на части устройств был вручную прописан адрес и шлюз - и, конечно же, "тот самый" из первого сегмента.

Вот они-то и пинговались.

Далее, прописал на втором кинетике маршрут, подсмотренный в первом, через первый. Появилась связь со вторым кинетиком, а с устройствами - фиг вам. Пришлось ещё на втором кинетике на межсетевом экране правило городить, разрешающее входящие из домашней сети, с адресом назначения подсети клиентов l2tp.

Всё заработало (ну почти - один из хостов домашней сети напроч отказывается принимать на http порт подключения из "не своей" сети)

А теперь вопрос.

А нельзя ли как-то отвязать клиентов L2TP от Home, и настроить NAT из сети клиентов L2TP в Home?

 

[Pop70]

Всем спасибо. Решил ещё проще - выдал клиентам L2TP сервера адреса из домашней сети, и всё - ни маршруты, ни NATы, ни правила в межсетвых экранах больше не нужны.

Но вопрос на будущее остался. Возможно ли NATить из одной private сети в другую - тоже private?

Средствами CLI, как я понял, нат включается только на public сети путём ip static.