Jump to content

Recommended Posts

Что-то никак не удается добиться правильной работы VPN. Подскажите, что делаю не так?

Есть офисная сеть 192.168.1.0/24. В этой сети есть сервер Windows 192.168.1.250, который заодно является сервером DHCP и DNS, от него по DHCP клиенты получают сетевые параметры: DNS 192.168.1.250 и шлюз 192.168.1.254. 192.168.1.254 - это Zyxel Keenetic.

На Zyxel Keenetic в локальной сети задан IP-адрес 192.168.1.254/24, включен NAT, выключен DHCP. Также на Zyxel Keenetic созданы следующие внешние подключения: PPPoE-подключение к интернету (используемое по умолчанию) и два подключения по выделенной линии со статически заданными IP-адресами: 10.1.144.3/24 (служебная закрытая сеть) и xx.yy.124.80/25 (публичная сеть). Также на Zyxel Keenetic добавлены статические маршруты на 10.0.0.0/8 (через интерфейс с 10.1.144.3) и на xx.yy.124.0/22 (через интерфейс с xx.yy.124.80). Кроме того, для этих интерфейсов добавлены DNS-сервера (10.1.128.11 и xx.yy.124.1).

Из офисной сети все работает отлично - выход в интернет через PPPoE, доступ к публичной сети xx.yy.124.0/22 натится через xx.yy.124.80, доступ к служебной сети 10.0.0.0/8 натится через 10.1.144.3.

Теперь я хочу обеспечить возможность подключения к офисной сети и офисным ресурсам через VPN. Добавил компонент VPN-сервер, добавил пользователя с правом доступа VPN-сервер, в разделе "Приложения" включил VPN-сервер, настроил диапазон 192.168.1.100-109 (этот диапазон исключен из пула адресов DHCP-сервера), для VPN-подключений включил NAT.

На удаленном ПК настраиваю VPN-подключение, успешно подключаюсь, получаю IP-адрес 192.168.1.100. Узлы из 192.168.1.0/24 успешно пингуются, в интернет через PPPoE выхожу. Но узлы в xx.yy.124.0/22 и 10.0.0.0/8 недоступны. Отчего так?

Если для дополнительных интерфейсов (10.1.144.3 и xx.yy.124.80) указать security-level private, то эти интерфейсы появляются в настройках VPN-сервера (выпадающий список с выбором интерфейсов, к которым нужно давать доступ). При выборе этих интерфейсов после установки VPN-подключения к узлам в этих подсетях доступ появляется, но пропадает к остальным. Ну и офисная сеть перестает работать, так как для security-level private они более не натятся.

У меня есть подозрение, что при включении NAT в настройках VPN-сервера трансляция осуществляется только на те интерфейсы, у которых в свойствах отмечено, что они используются для выхода в интернет.

Edited by support@cyber.com.ru
Link to comment
Share on other sites

1 час назад, support@cyber.com.ru сказал:

Что-то никак не удается добиться правильной работы VPN. Подскажите, что делаю не так?

Есть офисная сеть 192.168.1.0/24. В этой сети есть сервер Windows 192.168.1.250, который заодно является сервером DHCP и DNS, от него по DHCP клиенты получают сетевые параметры: DNS 192.168.1.250 и шлюз 192.168.1.254. 192.168.1.254 - это Zyxel Keenetic.

На Zyxel Keenetic в локальной сети задан IP-адрес 192.168.1.254/24, включен NAT, выключен DHCP. Также на Zyxel Keenetic созданы следующие внешние подключения: PPPoE-подключение к интернету (используемое по умолчанию) и два подключения по выделенной линии со статически заданными IP-адресами: 10.1.144.3/24 (служебная закрытая сеть) и xx.yy.124.80/25 (публичная сеть). Также на Zyxel Keenetic добавлены статические маршруты на 10.0.0.0/8 (через интерфейс с 10.1.144.3) и на xx.yy.124.0/22 (через интерфейс с xx.yy.124.80). Кроме того, для этих интерфейсов добавлены DNS-сервера (10.1.128.11 и xx.yy.124.1).

Из офисной сети все работает отлично - выход в интернет через PPPoE, доступ к публичной сети xx.yy.124.0/22 натится через xx.yy.124.80, доступ к служебной сети 10.0.0.0/8 натится через 10.1.144.3.

Теперь я хочу обеспечить возможность подключения к офисной сети и офисным ресурсам через VPN. Добавил компонент VPN-сервер, добавил пользователя с правом доступа VPN-сервер, в разделе "Приложения" включил VPN-сервер, настроил диапазон 192.168.1.100-109 (этот диапазон исключен из пула адресов DHCP-сервера), для VPN-подключений включил NAT.

На удаленном ПК настраиваю VPN-подключение, успешно подключаюсь, получаю IP-адрес 192.168.1.100. Узлы из 192.168.1.0/24 успешно пингуются, в интернет через PPPoE выхожу. Но узлы в xx.yy.124.0/22 и 10.0.0.0/8 недоступны. Отчего так?

Если для дополнительных интерфейсов (10.1.144.3 и xx.yy.124.80) указать security-level private, то эти интерфейсы появляются в настройках VPN-сервера (выпадающий список с выбором интерфейсов, к которым нужно давать доступ). При выборе этих интерфейсов после установки VPN-подключения к узлам в этих подсетях доступ появляется, но пропадает к остальным. Ну и офисная сеть перестает работать, так как для security-level private они более не натятся.

У меня есть подозрение, что при включении NAT в настройках VPN-сервера трансляция осуществляется только на те интерфейсы, у которых в свойствах отмечено, что они используются для выхода в интернет.

Так как у вас пересекаются диапазоны ip адресов, то по почти уверен что возвращающиеся из этих сетей пакеты маршрутизируются в сегмент Home a не в VPN

Делайте для VPN адреса из другой подсети.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...