VPN L2TP/IPSec доступ к нескольким сегментам

[IKollegaI]

Добрый день!

Помогите разобраться. Есть Keenetic GIGA на нем есть 2 сегмента Office (сеть 192.168.120.0/24) и Test (сеть 192.168.128.0/24). Между сегментами трафик разрешен. Поднят сервер VPN L2TP/IPsec с доступом в сеть Office. Через CLI интерфейс командой "crypto map VPNL2TPServer l2tp-server dhcp route 192.168.128.0/24" добавлен маршрут пользователям VPN в сеть Test (сеть 192.168.128.0/24), в route print на Windows пользователе маршрут при подключении к VPN появляется. Но команда ping идет только в сеть Office (сеть 192.168.120.0/24), в сеть Test (сеть 192.168.128.0/24) пинги не проходят. Скорее всего необходимо создать какое-нибудь разрешающие правило на сегменте Test, не могу понять какое.

Буду очень признателен за помощь или направление в инструкцию, где можно почитать о том как можно реализовать такую схему работы.

[IKollegaI]

Данная инструкция описывает возможность соединения двух роутеров по VPN с возможностью маршрутизации между их локальными сетями. 

В моем случае на роутере есть 2 сегмента, я подключаюсь к роутеру из операционной системы Windows и полчаю доступ к сети Office (т.к. указал этот сегмент при настройке VPN сервера), на роутере есть еще один сегмент Test, мне необходимо прописать правила или маршрутизацию, которая позволит клиенту windows попасть и в сегмент Office и в сегмент Test на роутере. Маршрут клиенту обоих сегментов передается, я его вижу, но работать могу только с сегментом Office, в сегмент Test меня не пускает.

Edited December 25, 2022 by IKollegaI

[Werld]

6 часов назад, IKollegaI сказал:

Скорее всего необходимо создать какое-нибудь разрешающие правило на сегменте Test, не могу понять какое.

 

[IKollegaI]

2 часа назад, Werld сказал:

 

Огромное спасибо данная тема помогла.

[IKollegaI]

Для истории

Есть сегмент Office (сеть 192.168.120.0/24), добавил сегмент Test (сеть 192.168.128.0/24), настроил VPN сервер L2TP/IPSec.

Чтобы на клиенте не прописывать маршрут вручную до сегмента Test (сеть 192.168.128.0/24), добавил дополнительный маршрут VPN клиенту через опцию DHCP INFORM (тема https://help.keenetic.com/hc/ru/articles/360010000699-Автоматическая-отправка-дополнительных-маршрутов-клиентам-VPN-сервера) команда CLI интерфейса в моем случае:

crypto map VPNL2TPServer l2tp-server dhcp route 192.168.128.0/24
system configuration save

Далее, для того чтобы VPN клиент имел доступ и к сети Office (сеть 192.168.120.0/24) и к сети Test (сеть 192.168.128.0/24) воспользовался инструкцией из поста пользователя Werld 

В моем случае создал правило в фаерволле разрешающие впн-клиентам доступ в подсеть 192.168.128.0/24 и навешивал эти правила на сегмент Test (сеть 192.168.128.0/24) на out. Последовательность CLI команд:

access-list myacl (создал ACL)

permit ip 172.16.2.0/24 192.168.128.0/24 (Добавил в ACL разрешающее правило)

exit (команда выхода из подгруппы комманд access-list в основной конфиг)

interface bridge2 ip access-group myacl out (привязал созданный ACL к нужному бриджу, имя бриджа подглядел сохранив stratup-config из роутера)

system configuration save (сохранил конфигурацию)

Чтебы не создавать правила в межсетевом экране для входящих соединений между сегментами, выполнил CLI команду:

no isolate-private
system configuration save

Edited December 28, 2022 by IKollegaI