Объединение сетей через Wireguard и PPTP

[pyatnitsev]

Привет!

Пытаюсь объединить две сети при помощи PPTP и одновременно сделать доступ "снаружи" через Wireguard. 

Основной роутер имеет сеть 192.168.1.0/24

Wireguard настроен на VPS, На нем два пира, к первому, цепляется роутер. Параметры IP такие: AllowedIPs = 10.20.0.0/24, 192.168.1.0/24, 192.168.2.0/24.

Со стороны роутера настроен статический маршрут в интерфейс WG. Маршрут до сети, 10.20.0.0/24.

Далее - есть клиент (удаленный ноутбук), на нем в AllowedIPs тоже что и на сервере, то есть заворачиваем сети 192.168.1.0/24 и 192.168.2.0/24

PPTP-сервер настроен на удаленном роутере, основной выступает клиентом. Подсеть 192.168.2.0/24 у удаленного, VPN-сеть 10.21.0.0/24.

Роутер "видит" сеть 192.168.2.0/24, да и из всей подсети 192.168.1.0/24 все пингуется, видится, а вот если пытаться обращаться с ноутбука, где поднял WG до роутера, то трейс такой:

10.20.0.1 # Это вот сервер, WG

10.20.0.2 # Это основной роутер

* * * * *

Если обращаться к сети 192.168.1.0/24 то трейс такой:

10.20.0.1

192.168.1.1

 

Какие только маршруты не пробовал писать, не видно сеть 192.168.2.0/24 с ноутбука с поднятым WG. 

Подскажите, можно ли сделать так, что бы сеть была видна в моем сценарии? 

[ANDYBOND]

https://help.keenetic.com/hc/ru/articles/360010131139-Пример-объединения-локальных-сетей-трех-роутеров-Keenetic-через-соединение-Wireguard-VPN

На всякий случай. И вопрос: а изоляция сегментов на маршрутизаторах убрана?

no isolate-private

system configuration save

И после перезагрузки маршрутизаторов проверить результат.

[pyatnitsev]

Спасибо за ссылку. 

Изоляцию сегментов убрал.

Можете явно подсказать, для моих адресов, статический маршрут должен быть

в подсеть 10.21.0.0/24, через интерфейс WG? 

Это сеть VPN PPTP до сети 192.168.2.0/24. 

Я ожидаю примерно такой трейс в случае успеха (traceroute 192.168.2.1):

1. 10.20.0.1 # Сервер WG

2. 10.20.0.2 # Роутер с двумя соединениями - WG и PPTP

3. 192.168.2.1

Сейчас все еще при обращении с ноута - теряется на роутере. 

 

Edited May 13 by pyatnitsev
Дописал трейс

[ANDYBOND]

13 часа назад, pyatnitsev сказал:

Можете явно подсказать

Маршрут до интересующей сети должен быть через шлюз, за которым эта сеть находится. Это - общее правило, которое всегда надо использовать.

 

15 часов назад, pyatnitsev сказал:

Если обращаться к сети 192.168.1.0/24 то трейс такой:

13 часа назад, pyatnitsev сказал:

Можете явно подсказать, для моих адресов, статический маршрут должен быть

в подсеть 10.21.0.0/24, через интерфейс WG? 

По логике да. Ибо сейчас к этой сети идёт просто прямое обращение, минуя все VPN, а, значит, по ней нет указаний в статических маршрутах.

[pyatnitsev]

За прошедшее время, перенастроил тоннель между роутерами на IPSec. 

Внутренней адресации (то есть сети 10.21.0.0/24) больше нет, 

Тоннель работает, между роутерами - сеть видно. 

Маршруты пытался строить такой:

 

Все еще упирается в 10.20.0.2 

[ANDYBOND]

35 минут назад, ANDYBOND сказал:

Маршрут до интересующей сети должен быть через шлюз, за которым эта сеть находится

Находится на другом конце. А маршрут на картинке - ни о чём. Локальная сеть и так знает, что она локальная. Ей нужно показать, через что на другой стороне пройти туда, куда надо. А для этого нужны не интерфейсы, а именно адреса шлюзов.

[ANDYBOND]

https://help.keenetic.com/hc/ru/articles/115000045869-Как-настроить-интернет-центр-для-организации-доступа-в-Интернет-с-включенным-NAT-а-в-корпоративную-сеть-доступ-без-NAT-с-IP-адресами-из-своей-локальной-сети-

Хороший материал, чтобы сделать по аналогии в нужной части.

[Леха из Питера]

Позволю себе вклиниться в беседу потому, что решаю схожую задачу.

Есть три локалки: Дом, Работа, Дача, каждая с выходом в инет. Роутер Дома имеет внешний айпи, на нем поднят PPTP-сервер. Локалки соединены по схеме https://help.keenetic.com/hc/ru/articles/360005620840-Объединение-более-двух-сетей-используя-VPN-сервер-на-Keenetic

Все видят всех.

Нужно иметь возможность с мобилки подключаться к ВНП сети и также видеть всех. Настроил на мобилке PPTP-клиента. Соединение есть, но она видит только локалку Дома.

После нескольких дней безуспешного пыхтения, поднял на роутере Дома WireGuard-сервер, а на мобилке клиента по этой инструкции https://help.keenetic.com/hc/ru/articles/360010304780-Подключение-по-протоколу-Wireguard-VPN-из-Android.

Подключение есть, но мобилка всё также видит только локалку Дома.

Чего не хватает, чтоб мобилка увидела локалки Работы и Дачи?

[Леха из Питера]

Вопрос решился. Нашел чего не хватало:

Прописал на роутерах Работы и Дачи обратный маршрут до внешнего ip пира мобилки.