Нет доступа к сети за PPTP клиентом

[Xxander]

Добрый день! 

Имеется следующая инфраструктура - Keenetic 1010 в роли PPTP сервера, Keenetic 4G в роли PPTP клиента.

Проблема в том, что из сети 192.168.1.0/24 за сервером нет доступа к сети 192.168.4.0/24 за клиентом, но пинги из терминала роутера KN1010 идут и до клиентского роутера и до его подсети.

Версия NDMS 2.11.C.1.0-3

Маршруты на роутере KN1010: (172.16.1.44 - IP, выданный PPTP сервером клиенту). На компьютере со стороны сервера, с которого пингую, маршруты стандартные.

0.0.0.0/0	0.0.0.0	Broadband connection (PPPoE)
10.1.30.0/24	0.0.0.0	Гостевая сеть
83.219.25.69/32	0.0.0.0	Broadband connection (PPPoE)
89.20.100.53/32	0.0.0.0	Broadband connection (PPPoE)
90.150.180.22/32	0.0.0.0	Broadband connection (PPPoE)
172.16.1.44/32	0.0.0.0	PPTPVPN
192.168.1.0/24	0.0.0.0	Домашняя сеть
192.168.4.0/24	172.16.1.44	PPTPVPN

[hellonow]

@Xxander нужно сделать настройку access-list in \ out - Как организовать доступ к локальным ресурсам провайдера за PPTP-клиентом?
 

[Xxander]

2 часа назад, enpa сказал:

@Xxander нужно сделать настройку access-list in \ out - Как организовать доступ к локальным ресурсам провайдера за PPTP-клиентом?
 

Одного все равно не пойму - как сейчас доходят пинги с терминала роутера до сети за PPTP клиентом.

Edited May 10, 2018 by Xxander

[Xxander]

Покурив мануалы, отключил изоляцию клиентов private интерфейсов - не помогло. Прошился на последний draft - так же нет результата.

[vasek00]

Только что проверил на 2.12 релизах (все действия на клиенте 192.168.140.100) :

1. вариант когда при настройках на клиенте данный канал PPTP-VPN по приоритету ниже основного который для интернета PPPoE

/ # ip ro
default dev ppp0  scope link 
Удал_сервер_VPN dev ppp0  scope link 
192.168.1.1 dev ppp1  proto kernel  scope link  src 192.168.10.9 
192.168.140.0/24 dev br0  proto kernel  scope link  src 192.168.140.100 
yy.yy.yy.1 dev ppp0  proto kernel  scope link  src yy.yy.yy.34 
/ # ping 192.168.1.32
PING 192.168.1.32 (192.168.1.32): 56 data bytes
^C
--- 192.168.1.32 ping statistics ---
5 packets transmitted, 0 packets received, 100% packet loss
/ # 

192.168.1.х - удаленная сеть роутера который сервер VPN, 1.32 клиент в данной сети
192.168.140.x - сеть роутера клиента VPN
192.168.10.9 - поднятый канал VPN

2. вариант когда при настройках на клиенте данный канал PPTP-VPN по приоритету выше основного который для интернета PPPoE

/ # ip ro
default dev ppp1  scope link 
Удал_сервер_VPN dev ppp0  scope link 
192.168.1.1 dev ppp1  proto kernel  scope link  src 192.168.10.9 
192.168.140.0/24 dev br0  proto kernel  scope link  src 192.168.140.100 
yy.yy.yy.1 dev ppp0  proto kernel  scope link  src yy.yy.yy.34 


/ # ping 192.168.1.32
PING 192.168.1.32 (192.168.1.32): 56 data bytes
64 bytes from 192.168.1.32: seq=0 ttl=63 time=28.525 ms
64 bytes from 192.168.1.32: seq=1 ttl=63 time=28.249 ms
^C
--- 192.168.1.32 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 28.249/28.387/28.525 ms
/ #  

192.168.1.х - удаленная сеть роутера который сервер VPN, 1.32 клиент в данной сети
192.168.140.x - сеть роутера клиента VPN
192.168.10.9 - поднятый канал VPN

так как "default dev ppp1 scope link" а это VPN канал то любой пакет для адресата 192.168.1.32 попадет в этот сетевой интерфейс, а роутер на другом конце уже поймет что с ним делать.

в варианте 1 добавляем маршрут

/ # ip ro add 192.168.1.0/24 via 192.168.10.9 
/ # ip ro
default dev ppp0  scope link 
Удал_сервер_VPN dev ppp0  scope link 
192.168.1.0/24 via 192.168.10.9 dev ppp1 
192.168.1.1 dev ppp1  proto kernel  scope link  src 192.168.10.9 
192.168.140.0/24 dev br0  proto kernel  scope link  src 192.168.140.100 
yy.yy.yy.1 dev ppp0  proto kernel  scope link  src yy.yy.yy.34 
/ # ping 192.168.1.32
PING 192.168.1.32 (192.168.1.32): 56 data bytes
64 bytes from 192.168.1.32: seq=0 ttl=63 time=33.580 ms
64 bytes from 192.168.1.32: seq=1 ttl=63 time=33.055 ms
^C
--- 192.168.1.32 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 33.055/33.317/33.580 ms
/ # 

В данном варианте появилось описание сети удаленного роутера
192.168.1.0/24 via 192.168.10.9 dev ppp1 
пакетики для сети 192.168.1.0/24 посылать через 192.168.10.9 интерфейса ppp1
где ppp0 Интернет PPPoE RT-100, а ppp1 поднятый канал VPN_client

На клиенте 192.168.140.2
------------------------
Обмен пакетами с 192.168.1.32 по с 32 байтами данных:
Ответ от 192.168.1.32: число байт=32 время=28мс TTL=62
Ответ от 192.168.1.32: число байт=32 время=28мс TTL=62
Ответ от 192.168.1.32: число байт=32 время=28мс TTL=62
Ответ от 192.168.1.32: число байт=32 время=30мс TTL=62

Статистика Ping для 192.168.1.32:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 28мсек, Максимальное = 30 мсек, Среднее = 28 мсек

Проверяйте правильность настроек на клиенте или смотрите маршруты еще раз

Edited May 14, 2018 by vasek00

[Xxander]

Возможно я ошибаюсь, но, судя по всему, на клиенте как раз нет проблем, т.к. из веб интерфейса роутера(который является впн сервером) пинг идет. Связи нет из подсети, находящейся за VPN сервером. Уточню, что со стороны клиента в подсесть за сервером связь не требуется. Думаю что собака зарыта в изоляции интерфейсов, т.к. Пинг с компьютера за VPN сервером  уходит по default маршруту на роутер-сервер и там теряется.

Edited May 14, 2018 by Xxander

[Xxander]

Понял Ipsec туннель. Все завелось с пол-оборота. Тему можно закрыть.