Маршрутизация трафика из PPTP в IPSec

[Eugene Kuzin]

Что-то не получается, подозреваю, что или нельзя совсем, или очень просто. Наворотил приблизительно вот такую конфигурацию: 

Viva - домашний, там полноценный интернет, 4G - это дача, там видеонаблюдение, для которого IPSec-туннель, и лимитированный интернет, поэтому еще и РРТР домой, чтобы интернет стал полноценным.

Все хорошо, пока я нахожусь в пределах одного или другого роутера, вижу хосты в обеих подсетях, все отовсюду правильно попадают в интернет. Но когда подключаюсь по РРТР удаленно - сеть 192.168.5.0 мне никак недоступна: все, что не "родная сеть" Вивы - маршрутизируется на интернет-интерфейс, а не так, как надо было бы, в IPsec. Со своей удаленной стороны прописываю маршрут в 5-ю сеть статически, указываю шлюзом  адрес РРТР, или адрес внутренней сети Вивы - никакой разницы, трафик после Вивы однозначно уходит мимо туннеля. Куда копать, что делать, подскажите?

 

[Le ecureuil]

10 часов назад, Eugene Kuzin сказал:

Что-то не получается, подозреваю, что или нельзя совсем, или очень просто. Наворотил приблизительно вот такую конфигурацию: 

Viva - домашний, там полноценный интернет, 4G - это дача, там видеонаблюдение, для которого IPSec-туннель, и лимитированный интернет, поэтому еще и РРТР домой, чтобы интернет стал полноценным.

Все хорошо, пока я нахожусь в пределах одного или другого роутера, вижу хосты в обеих подсетях, все отовсюду правильно попадают в интернет. Но когда подключаюсь по РРТР удаленно - сеть 192.168.5.0 мне никак недоступна: все, что не "родная сеть" Вивы - маршрутизируется на интернет-интерфейс, а не так, как надо было бы, в IPsec. Со своей удаленной стороны прописываю маршрут в 5-ю сеть статически, указываю шлюзом  адрес РРТР, или адрес внутренней сети Вивы - никакой разницы, трафик после Вивы однозначно уходит мимо туннеля. Куда копать, что делать, подскажите?

 

А зачем такое, если есть SSTP?

[Кинетиковод]

В 13.04.2018 в 22:50, Le ecureuil сказал:

А зачем такое, если есть SSTP?

SSTP клиент Кинетика не умеет использовать интернет сервера, поэтому для данной схемы не подходит, плюс производительность на мыльницах. L2TP/IPsec интернетом сервера пользоваться умеет, но попасть к клиенту не получится, тоже не подходит. Остаётся PPTP. 

[Le ecureuil]

15 часов назад, Кинетиковод сказал:

SSTP клиент Кинетика не умеет использовать интернет сервера, поэтому для данной схемы не подходит, плюс производительность на мыльницах. L2TP/IPsec интернетом сервера пользоваться умеет, но попасть к клиенту не получится, тоже не подходит. Остаётся PPTP. 

Секундочку... Что значит "не умеет использовать интернет сервера"? Можно поподробнее раскрыть мысль?

[Кинетиковод]

58 минут назад, Le ecureuil сказал:

Секундочку... Что значит "не умеет использовать интернет сервера"? Можно поподробнее раскрыть мысль?

Это значит, что выходить в интернет через сервер не может и соответственно в данном случае белого ip не получит. Я так понимаю PPTP на 4G как раз для этого поднимался. Проще говоря даже если поставить галку в настройках SSTP клиента "использовать для выхода в интернет" всё-равно будет использоваться выход через основное подключение, а SSTP лишь обеспечит доступ в локалку сервера.

[Eugene Kuzin]

В 13.04.2018 в 22:50, Le ecureuil сказал:

А зачем такое, если есть SSTP?

глобальная цель - войдя извне (с работы, например) в структуру из двух сетей - видеть их обе (и там и там - по видеорегистратору, и серверу домашней автоматизации. Если получится технически - на 4G появится полноценный интернет, можно напрямую входить на любой из роутеров, но это маловероятно. А городить какой-нибудь колхоз, и делать прокси в сети Вивы - это какое-то не совсем красивое решение, по сравнению с настройкой маршрутизации...  Допустим, я заменю удаленное подключение PPTP на SSTP - даст ли оно маршрут в другую сеть из сети входа? 

[Eugene Kuzin]

23 часа назад, Кинетиковод сказал:

Это значит, что выходить в интернет через сервер не может и соответственно в данном случае белого ip не получит. Я так понимаю PPTP на 4G как раз для этого поднимался. Проще говоря даже если поставить галку в настройках SSTP клиента "использовать для выхода в интернет" всё-равно будет использоваться выход через основное подключение, а SSTP лишь обеспечит доступ в локалку сервера.

Не нужен там белый айпи, там интернет ограничен украинским сегментом сети, а РРТР делает его полноценным. Я так понимаю, шлюз по умолчанию по другую сторону IPSec туннеля тоже не выйдет указать.

[Eugene Kuzin]

Вдруг кому интересно - проблема решилась, хотя логикой такое решение "в лоб" ни за что бы не осилил  

 

Цитата

В настройках интернет-центров Keenetic нет возможность прописывать статические маршрут в IPSec-подключения, вся маршрутизация происходит на основе политик, которые прописаны в IP-адрес локальной и удаленной подсети в настройках IPSec. Соответственно, чтобы трафик от мобильных клиентов смог отправлять в туннель до удаленной сети, необходимо, чтобы IP-адреса мобильных клиентов, полученные при подключении, попадали в данные политики настройки в IPSec.

статья целиком

То есть, точку с двумя сетями (Viva, в моем случае), надо сконфигурировать так, чтобы ее диапазон адресов накрывал обе подсети: "родную", и ВПН, тогда все ходит. Но это не решает проблему с обеспечением доступа в интернет удаленной подсети через ВПН, если устанавливать РРТР-соединение, с которым уже есть перекрытие адресов - все падает, и никто никуда вообще не ходит. Выйти из положения получилось настройкой IPsec Virtual IP в конфигурации с перекрытием (сеть 192.168.0.0/24 на роутере и 192.168.1.0 для Virtual IP, 192.168.0.0/23 сеть в конфигурации тоннеля, которая накрывает обе подсети), и дефолтные настройки РРТР-сервера (172.16.2.х). В результате, "дальний" роутер нормально ходит в интернет через "ближний", имея одновременно тоннель во внутреннюю подсеть, а входя через Virtual IP на роутер, мне нормально доступны обе подсети обеих роутеров, все как на картинке в начале ветки.