Маршрутизация сетей через VPN

[dr.mikegreen]

Добрый день! Вопрос про Keenetic VIVA

Есть некий SSTP VPN сервер. Роутер Keenetic является клиентом со статическим адресом 172.20.1.3. В таблице маршрутов есть запись 172.20.1.0/24 172.20.1.3. Клиенты локальной сети роутера (10.10.3.0/24) без проблем ходят в сеть 172.20.1.3, видят всех клиентов SSTP сервера. Однако из VPN сети невозможно попасть в локальную сеть.

По рекомендации из мануала для роутера, являющегося VPN клиентом, были сделаны соответствующие настройки межсетевого экрана. Для интерфейса, через который происходит подключение, установлены разрешающие правила для всех входящих соединений по протоколам TCP, UDP и ICMP. Однако сеть 10.10.3.0 так и не доступна клиентам сети 172.20.1.0

Может кто-то знает как разрешить подключения к локальной сети?

P.S. На SSTP сервере имеется маршрут 10.10.3.0/24 172.20.1.3. Узел 172.20.1.3 доступен внутри этой сети.

[CBLoner]

А что на стороне SSTP стоит? Может там и затыка?

[dr.mikegreen]

Там Sofrether сервер. Он пропускает пакеты, там по умолчанию виртуальная сеть без ограничений. Маршрут в настройках добавлен в сеть 10.10.3.0 через адрес кинетика (172.20.1.3).

Edited September 18 by dr.mikegreen

[dr.mikegreen]

Попробую нагляднее объяснить.
Вот схема сети

На Кинетике установлено соединение через SSTP-клиент со статическим адресом. В межсетевом экране настроено так:

P.S. Эти правила влияют только на доступность узла 172.20.1.3 (если их выключить, то и он не пингуется).

interface SSTP0
    description "BK SE VPN"
    role misc
    peer my.server.ru
    no ipv6cp
    lcp echo 30 3
    ipcp default-route
    ipcp dns-routes
    ipcp address
    no ccp
    security-level public
    authentication identity KeeneticKam
    authentication password ns3 ***
    ip address 172.20.1.3 255.255.255.255
    ip dhcp client dns-routes
    ip access-group _WEBADMIN_SSTP0 in
    connect
    up

Любой хост сети 10.10.3.0 имеет доступ ко всем хостам сети 172.20.1.0
Ни один клиент сети 172.20.1.0 не может попасть в сеть 10.10.3.0.

Softether настроен как виртуальный хаб с DHCP сервером. То есть имитация физического неуправляемого хаба (за исключением DHCP).
Из логов ARP и ICMP VPN сервера следует:
   1). Пингуем с клиента 172.20.1.21 узел 172.20.1.3 и получаем:
        ARPv4,Request,-,-,-,-,-,-,Who has 172.20.1.3? Please Tell 5EA572C1AE66(172.20.1.21)
        ARPv4,Response,-,-,-,-,-,-,CAB8FD11B4A9 has 172.20.1.3
        SID-TEST1-9,SID-KEENETICKAM-[SSTP]-10,5EA572C1AE66,CAB8FD11B4A9,0x0800,74,ICMPv4,Echo Request,172.20.1.21,-,172.20.1.3
        SID-KEENETICKAM-[SSTP]-10,SID-TEST1-9,CAB8FD11B4A9,5EA572C1AE66,0x0800,74,ICMPv4,Echo Reply,172.20.1.3,-,172.20.1.21
   2). Пингуем с клиента 172.20.1.21 узел 10.10.3.38 и получаем:
        ARPv4,Request,-,-,-,-,-,-,Who has 172.20.1.3? Please Tell 5EA572C1AE66(172.20.1.21)
        ARPv4,Response,-,-,-,-,-,-,CAB8FD11B4A9 has 172.20.1.3
        SID-TEST1-4,SID-KEENETICKAM-[SSTP]-3,5EA572C1AE66,CAB8FD11B4A9,0x0800,74,ICMPv4,Echo Request,172.20.1.21,-,10.10.3.38
Ответ не возвращается.

P.P.S. Файерволы компьютеров в сети 10.10.3.0 не блокируют ничего. С самого Кинетика пинги проходят.

Про захват пакетов в Кинетике на VPN подключении.
Когда пингуем узел 172.20.1.3, пакеты хватаются без проблем:

Когда пингуем узел 10.10.3.38, нет ICMP пакетов, только эхо в сеть 172.20.1.0

Если еще что-то нужно пришлю. Я уже пару недель бьюсь. Прям убиваюсь) Помогите люди добрые!)

Edited September 18 by dr.mikegreen