feasant Posted September 18, 2023 Share Posted September 18, 2023 Добрый день. Никак не удается добиться следующей схемы работы: удаленный клиент <-> Keenetic VPN server <-> Keenetic VPN client <-> OpenVPN сервер <-> Inet. Keenetic (2.16.D.12.0-8) -- один и тот же. На нем поднят и VPN server L2TP/IPsec с доступом во внутреннюю сесть и в Интернет через сеть провайдера и на нем же поднято соединение до внешнего OpenVPN. Удаленный клиент подключается по VPN к Кинетику и попадает в инет через сеть провайдера. А как можно перенаправить все такие подключения, пришедшие на VPN server дальше в туннель до внешнего OpenVPN? Если подключаться из локальной сети к роутеру по wi-fi и зарегистрировать устройство, то в настройках самого этого устройства можно задать профиль доступа, который настроен на использование канала до OpenVPN и так работает. А вот если подключаться извне по VPN, то такой привязки не сделать (не нашел) и в инет такие внешние клиенты выходят через провайдера, а не попадают дальше в тунель до OpentVPN-сервера. В идеале -- перенаправлять так только определенных пользователей VPN сервера Кинетика, но если выборочно нельзя, то подойдет вариант когда весь трафик от всех впн-клиентов уходит на внешний впн-сервер. Спасибо. Quote Link to comment Share on other sites More sharing options...
stefbarinov Posted September 19, 2023 Share Posted September 19, 2023 13 часа назад, feasant сказал: А как можно перенаправить все такие подключения, пришедшие на VPN server дальше в туннель до внешнего OpenVPN? А если прописать в сети L2TP клиента маршрут в Openvpn сеть через интерфейс L2TP? Quote Link to comment Share on other sites More sharing options...
feasant Posted September 19, 2023 Author Share Posted September 19, 2023 такого интерфейса в доступных к выбору нет. чтобы хоть как-то привязаться к этому подключению завел отдельный сегмент и указал в нем нужный профиль. опишу подробнее: 1. приложение VPN-сервер L2TP/IPsec, в его настройках: - опция NAT для клиентов для доступа клиентов VPN-сервера в Интернет - отдельная внутренняя сеть с начальным адресом 172.16.2.33 с неким пулом адресов - доступ к сети vpn2vpn 2. Сегмент vpn2vpn - адрес 192.168.2.1 - опция NAT для подключения устройств сегмента к Интернету - профиль доступа = VPN 3. В VPN-подключениях настроен, включен и работает клиент OpenVPN с опцией Получать маршруты от удаленной стороны. 4. Профили доступа в Интернет: - Основной с выбранными подключениями 1) к провайдеру 2) к OpenVPN - VPN c одним выбранным подключением через OpenVPN В такой конфигурации пробовал прописывать маршруты: - к внутренней сети OpenVPN через шлюз = адресу клиента OpenVPN и интерфейс vpn2vpn - к внешнему адресу OpenVPN через шлюз адресу клиента OpenVPN и интерфейс vpn2vpn - к внутренней сети OpenVPN через шлюз = 192.168.2.1 и интерфейс vpn2vpn - к внутренней сети OpenVPN через шлюз = 172.16.2.1 и интерфейс vpn2vpn Ничего из этого не приводит к желаемому результату. при заходе на 2ip вижу внешний адрес провайдера, а не адрес внешнего OpenVPN-сервера. Quote Link to comment Share on other sites More sharing options...
stefbarinov Posted September 20, 2023 Share Posted September 20, 2023 9 часов назад, feasant сказал: такого интерфейса в доступных к выбору нет В качестве шлюза для маршрута указать ip адрес, полученный от L2TP сервера Quote Link to comment Share on other sites More sharing options...
feasant Posted September 20, 2023 Author Share Posted September 20, 2023 (edited) не помогает. задаю маршрут до сети 10.8.0.0 маска 255.255.255.0 адрес шлюза 172.16.2.33 (выданный из пула по DHCP ip клиента) интерфейс -- любой или OpenVPN клиент переподключается, заходит на 2ip -- виден адрес провайдера, а не OpenVPN. уточню -- мне не нужно попадать в как таковую сеть OpenVPN, там нет по сути сети с внутренними хостами, мне нужно только чтобы весь трафик с клиента L2TP сервера уходил на OpenVPN соединение, чтобы в инет через него выходить, а не через местного провайдера. спасибо. Edited September 20, 2023 by feasant Quote Link to comment Share on other sites More sharing options...
stefbarinov Posted September 20, 2023 Share Posted September 20, 2023 3 часа назад, feasant сказал: задаю маршрут до сети 10.8.0.0 Задайте маршрут по умолчанию до OVPN Quote Link to comment Share on other sites More sharing options...
feasant Posted September 20, 2023 Author Share Posted September 20, 2023 тип маршрута: маршрут по умолчанию адрес шлюза: 172.16.2.33 (как советовали выше -- это адрес, выданный из пула по DHCP ip клиента со стороны L2TP/IPsec сервера) интерфейс: OpenVPN больше для маршрута по умолчанию никаких настроек нет и такой маршрут Кинетик не дает сохранить, потому что "IP-адрес из другой подсети" Quote Link to comment Share on other sites More sharing options...
stefbarinov Posted September 20, 2023 Share Posted September 20, 2023 На клиенте в L2TP поставить галочку в чек-боксе «Использовать для выхода в интернет» Quote Link to comment Share on other sites More sharing options...
feasant Posted September 20, 2023 Author Share Posted September 20, 2023 нет такого "клиента". есть L2TP-сервер и там включена опция "Для доступа клиентов VPN-сервера в Интернет". есть OpenVPN клиент как отдельное подключние и там опция "Использовать для выхода в Интернет" включена. Quote Link to comment Share on other sites More sharing options...
stefbarinov Posted September 20, 2023 Share Posted September 20, 2023 В 18.09.2023 в 18:27, feasant сказал: Удаленный клиент подключается по VPN к Кинетику Что за устройство является удаленным клиентом? Quote Link to comment Share on other sites More sharing options...
feasant Posted September 20, 2023 Author Share Posted September 20, 2023 обычный телефон (iphone). в интернет то при подключении он выходит, только через сеть местного провайдера, т.е. это подключение Кинетик не заворачивает дальше в канал до OpenVPN. и вот еще сейчас заметил в логе Кинетика: nimproxy sendmsg() failed (network is unreachable). Сен 20 18:47:10 ndm IpSec::Configurator: "VPNL2TPServer": IPsec connection to L2TP/IPsec server from "213.87.133.12" is established. Сен 20 18:47:10 ndm IpSec::IpSecNetfilter: start reloading netfilter configuration... Сен 20 18:47:11 ndm IpSec::IpSecNetfilter: netfilter configuration reloading is done. Сен 20 18:47:11 kernel EIP93: build outbound ESP connection, (SPI=00dd09cc) Сен 20 18:47:11 ppp-l2tp l2tp: new tunnel 45886-30 created following reception of SCCRQ from 213.87.133.12:61215 Сен 20 18:47:11 ppp-l2tp l2tp tunnel 45886-30 (213.87.133.12:61215): established at 93.nn.yyy.xxx:1701 Сен 20 18:47:11 ppp-l2tp l2tp tunnel 45886-30 (213.87.133.12:61215): new session 18566-11515 created following reception of ICRQ Сен 20 18:47:11 ppp-l2tp ppp0:: connect: ppp0 <--> l2tp(213.87.133.12:61215 session 45886-30, 18566-11515) Сен 20 18:47:14 ppp-l2tp ppp0:feasant: feasant: authentication succeeded Сен 20 18:47:14 ppp-l2tp l2tp0:feasant: session started over l2tp session 45886-30, 18566-11515 Сен 20 18:47:14 ndm IpSec::Configurator: "VPNL2TPServer": L2TP/IPsec client "feasant" connected with address "172.16.2.33" (from "213.87.133.12"). Сен 20 18:48:05 nimproxy sendmsg() failed (network is unreachable). Сен 20 18:48:05 nimproxy failed to send igmp packet to interface ra2. Quote Link to comment Share on other sites More sharing options...
Кинетиковод Posted September 20, 2023 Share Posted September 20, 2023 В 18.09.2023 в 18:27, feasant сказал: то такой привязки не сделать (не нашел) и в инет такие внешние клиенты выходят через провайдера, а не попадают дальше в тунель до OpentVPN-сервера. На Openvpn tap можно привязывать клиентов к чему угодно. Quote Link to comment Share on other sites More sharing options...
feasant Posted September 21, 2023 Author Share Posted September 21, 2023 да, но для Openvpn tap нужны сервера OpenVPN на обоих концах, а у меня на Кинетике нет OpenVPN-сервера, есть только OpenVPN-клиент и L2TP-сервер и бридж между ними ну никак не хочет создаваться. Видно, что удаленный клиент подключается к L2TP-серверу и попадает в сегмент vpn2vpn с адресом 192.168.2.1. Это видно про traceroute, это первый ответивший хост. А вот следующий хост -- это уже адрес провайдера. Никакие маршруты и переадресации почему-то не хотят уводить с 192.168.2.1 на внешний OpenVPN. Quote Link to comment Share on other sites More sharing options...
stefbarinov Posted September 22, 2023 Share Posted September 22, 2023 У меня настроено так (если уж мы говорим о клиенте iPhone): на KN-1010 (4.0.4) поднят WireGuard сервер и OVPN клиент до. Цепляясь с айфона к WG серверу, телефон автоматом получает доступ и в локальную сеть за сервером, и в OVPN (работает инстаграм), и спидтест определяет ip сервера WG. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.