Jump to content

Double VPN ( маршрутизация трафика от VPN клиента через VPN туннель)


Recommended Posts

Приветствую, коллеги!

Подскажите пожалуйста, кто настраивал следующую схему подключения:

VPN Клиент (пользователь) --- L2TP/IPSec--> Keentic VPN сервер GW1  -- L2TP/IPSec--> Удаленный VPN сервер GW2

Мне нужно направить траффик от VPN пользователей подключенных через VPN к Keentic через VPN туннель установленный этим роутером с удаленным L2TP/IPsec сервером.

 

В теории все должно быть просто

1. У клиента используем GW1  как шлюз по умолчанию (настройка VPN клиента по умолчанию).

2. На GW1 настраиваем маршрут до подсетей находящихся за удаленным GW2. Разрешаем траффик в обе стороны. В настройках VPN подключения к GW2 снимаем галку - Использовать для подключения к Интернет т.к мы не хотим траффик от GW1 перенаправять через туннель.

3. На удаленном VPN сервер настраиваем маршрут до подсети выдваваемой VPN клиентам Keenetic VPN сервер. Разрешаем траффик в обе стороны

 

Но проблема в том, что VPN клиент не может получить доступ к сетям находящимся за GW2, трафик оседает в домашней сети GW1 и дальше не идет.

Если поставтить галочку "Использовать для доступа в Интернет" для VPN подключения к GW2 на Keenetic GW1, и понизить приоритет этого подключения (опустить его ниже подключения Интернет) то  в целом работает, но это кака-я то странная схема :)

Можно ли пробросить подключения от VPN пользователей к подсетям находящимся за GW2 "по человечески" ?

Спасибо!

 

P.S. Я нашел несколько ссылок, похоже что можно этого добиться используя командную строку, а можно это сделать через Web интерфейс? :)

 

 

Link to comment
Share on other sites

23 часа назад, Amid000 сказал:

в целом работает, но это какая-то странная схема

Это не странная схема, а установленная разработчиками логика работы. Для впн-клиентов форвард разрешен только в интерфейсы с признаком ip global (галочка "Использовать для выхода в интернет"), иначе форвард запрещен. Если по какой-то причине не хотите ставить эту галочку, создавайте вручную правила разрешающие нужный вам форвард (делается через cli), примеры как раз в теме по ссылке.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...