Vladislav Kravchenko Posted September 29, 2018 Share Posted September 29, 2018 Друзья, поможите непонимающему как настроить маршрутизацию при соединении трех сетей. Есть Giga II с белым IP и внутренней сетью 192.168.0.0 (2.13.C.0.0-0) Есть Ultra с серым IP и внутренней сетью 192.168.1.0 (2.13.C.0.0-0) Есть Extra II с серым IP и внутренней сетью 192.168.2.0 (последняя прошивка, скорее всего тоже 2.13.C.0.0-0) Ultra и Extra подключены к Giga через L2TP/IPSec. С Ultra (на Giga 172.16.2.34) и Extra (на Giga 172.16.2.33) я могу заходить в сеть 192.168.0.0. Все, что до работает норм. А вот дальше непонятно: С Giga я могу пинговать Extra, но не могу пинговать Ultra. С Giga я не вижу сетей 192.168.1.0 и 192.168.2.0. C Ultra я не вижу 192.168.2.0 сеть и не могу пинговать Extra. Межсетвые экраны на всех отключены. Нутром чую, что надо настроить какой-то маршрут, но не соображу где и куда. PS. Еще на Giga есть Ipv6 полученный 6to4, можно ли как-то сделать его RA для сетей за Ultra и Extra чтобы устройства в них получали тоже внешние IPv6 адреса? Quote Link to comment Share on other sites More sharing options...
Валера Posted October 2, 2018 Share Posted October 2, 2018 (edited) Построй сеть треугольником и будешь везде заходить без проблем. Просто нужно добавить туннель с Ultra на Extra. С Giga я могу пинговать Extra, но не могу пинговать Ultra. Проверь в интернет - проводной , настойку Проверка доступности Интернета (Ping Check). Добавь правило межсетевого экрана на Ultra. С Giga я не вижу сетей 192.168.1.0 и 192.168.2.0. Если не видишь сетей значит не до конца настроил туннели и/или межсетевые экраны. C Ultra я не вижу 192.168.2.0 сеть и не могу пинговать Extra - Это нормально между ними нет туннеля, а пинговать через сеть не получится. Попробуй на одном из серых адресов получить статический адрес ( некоторые провайдеры делают это без денег, нужно только включить в личном кабинете). Edited October 2, 2018 by Валера 1 Quote Link to comment Share on other sites More sharing options...
Vladislav Kravchenko Posted October 3, 2018 Author Share Posted October 3, 2018 9 часов назад, Валера сказал: Построй сеть треугольником и будешь везде заходить без проблем. Просто нужно добавить туннель с Ultra на Extra. С Giga я могу пинговать Extra, но не могу пинговать Ultra. Проверь в интернет - проводной , настойку Проверка доступности Интернета (Ping Check). Добавь правило межсетевого экрана на Ultra. С Giga я не вижу сетей 192.168.1.0 и 192.168.2.0. Если не видишь сетей значит не до конца настроил туннели и/или межсетевые экраны. C Ultra я не вижу 192.168.2.0 сеть и не могу пинговать Extra - Это нормально между ними нет туннеля, а пинговать через сеть не получится. Попробуй на одном из серых адресов получить статический адрес ( некоторые провайдеры делают это без денег, нужно только включить в личном кабинете). Треугольником? Это какое-то новшество вообще. С красивыми сетевыми штормами из-за лупов Добавить туннель с Ultra на Extra можно только через уже созданный туннель, т.к. на Ultra и на Extra гарантировано серые IP. "C Ultra я не вижу 192.168.2.0 сеть и не могу пинговать Extra - Это нормально между ними нет туннеля, а пинговать через сеть не получится." - пакеты должны убегать на Giga, а оттуда маршрутизироваться на Ultra. Quote Link to comment Share on other sites More sharing options...
Валера Posted October 5, 2018 Share Posted October 5, 2018 В 03.10.2018 в 08:56, Vladislav Kravchenko сказал: на Ultra и на Extra гарантировано серые IP. Кто мешает воспользоваться DDNS сервисом - бесплатных полно. В 03.10.2018 в 08:56, Vladislav Kravchenko сказал: пакеты должны убегать на Giga, а оттуда маршрутизироваться на Ultra. Должны только не убегают. По поводу треугольника ирония напрасна. Все прекрасно бегает и головняка при настойке - минимум. Если бы у меня не работало, я бы совета не давал. Посмотри у меня под аватаркой перечислены все кинетики которые сейчас работают именно треугольником. По 2 VPN c каждого, плюс удаленный доступ к любому устройству в сети. Quote Link to comment Share on other sites More sharing options...
Валера Posted October 5, 2018 Share Posted October 5, 2018 Цитата Внимание! Для корректной работы маршрутизации через туннель на сервере нужно прописать маршрут, который указывает, что сеть 192.168.1.0/24 находится за IP-адресом 192.168.11.2. Это цитата из документации Кинетика примени ее к своим адресам. Quote Link to comment Share on other sites More sharing options...
Vladislav Kravchenko Posted October 8, 2018 Author Share Posted October 8, 2018 В 05.10.2018 в 12:43, Валера сказал: Это цитата из документации Кинетика примени ее к своим адресам. А в какой именно документации это прописано? Найти не смог. Более того, Extra мне не дает сделать маршрутизацию на адрес из другой сети. Т.е. у меня нет доступа из сети Extra к любому компьютеру в сети Giga, хотя на Giga из сети Extra я могу зайти (такой маршрут создается автоматически при подключении по VPN), а вот доп маршрут я добавить не могу через интерфейс. Quote Link to comment Share on other sites More sharing options...
Vladislav Kravchenko Posted October 8, 2018 Author Share Posted October 8, 2018 В 05.10.2018 в 12:25, Валера сказал: Кто мешает воспользоваться DDNS сервисом - бесплатных полно. Проблема должна решать маршрутизацией. DDNS при сером адресе не поможет, к нему не подключишься через многочисленные NAT-провайдеров. Quote Link to comment Share on other sites More sharing options...
Валера Posted October 8, 2018 Share Posted October 8, 2018 (edited) Смотрите у меня прекрасно работает такой вариант ( правда я использую VPN IPSec ) , и обращаюсь к ним по их реальным адресам в подсети, а не по виртуальным как пытаетесь сделать вы. Там где статический адрес настраивайте сервер, где динамика - клиент. должно все работать. Документация Вот ваш вариант ( исправьте если где не верно) Edited October 8, 2018 by Валера Quote Link to comment Share on other sites More sharing options...
Vladislav Kravchenko Posted October 8, 2018 Author Share Posted October 8, 2018 Подождите, у вас же должно работать все с двумя туннелями, если у вас маршрутизация настроена. Т.е. 192.168.2.0/24 -> 192.168.2.1 на 192.168.1.1 и 192.168.3.1 остаются туннели 1 и 3, соответственно и обратный маршрут 192.168.1.0/24 -> 192.168.1.1 и т.п. Quote Link to comment Share on other sites More sharing options...
Валера Posted October 8, 2018 Share Posted October 8, 2018 (edited) Я делал, чтоб не нагружать каналы. Туннель 2 и 3 используются для записи с камер наблюдения на USB NAS. Туннель 1 нужен для работы базы данных. Если камеры пробросить через него база тормозит, а так все чудненько работает . Туннель 1 и 2 ADSL линия, ее сильно не нагрузишь, особенно на отдачу. Документация Edited October 8, 2018 by Валера Quote Link to comment Share on other sites More sharing options...
Vladislav Kravchenko Posted October 8, 2018 Author Share Posted October 8, 2018 6 часов назад, Валера сказал: Вот ваш вариант ( исправьте если где не верно) Да, верный план. Quote Link to comment Share on other sites More sharing options...
Vladislav Kravchenko Posted October 10, 2018 Author Share Posted October 10, 2018 (edited) В 08.10.2018 в 19:14, Vladislav Kravchenko сказал: Да, верный план. В общем. В через интерфейс никак не дает добавить нужный маршрут. Постоянно пишет, что адрес шлюза не в диапазоне нужной сети. На Extra уже прописан статический маршрут к Giga (я могу с любого устройства за Extra зайти на Giga): 192.168.0.1/32 0.0.0.0 toGiga где 192.168.0.1 это адрес Giga в егойной сети, 0.0.0.0 адрес шлюза в сети Extra и toGiga это интерфейс VPN. Как я понимаю, для того, чтобы попадать из сети Extra в сеть Giga мне нужно прописать примерно следующее: 192.168.0.0.24 0.0.0.0 toGiga или же 192.168.0.0/24 192.168.0.1 toGiga PS. Собственно решил проблему прописав на Extra следующий маршрут: 192.168.0.0/24 192.168.0.1 toGiga Интерфейс его пропустил и теперь могу ходить из сети за Extra в сеть Giga PSS. Осталось теперь прописать на Giga маршруты к сетям на Extra и Ultra Edited October 11, 2018 by Vladislav Kravchenko Quote Link to comment Share on other sites More sharing options...
Vladislav Kravchenko Posted October 13, 2018 Author Share Posted October 13, 2018 (edited) В 10.10.2018 в 20:14, Vladislav Kravchenko сказал: Интерфейс его пропустил и теперь могу ходить из сети за Extra в сеть Giga Итак, проблему соединения трех сетей через два VPN-соединения решил. Пошаговая инсрукция: 1. На Giga 192.168.0.1 на сервере VPN настроил адреса для клиентов из сети Giga (там у меня запас оставался). 2. Ultra получила адрес 192.168.0.230, Extra получила адрес 192.168.0.231. 3. На Ultra добавляю следующую маршрутизацию (в интерфейсе надо ставить флажок "Авто" иначе оно не дает сохранить правило, редиска) 192.168.0.0/24 -> 192.168.0.1 так мы получаем доступ к сети за Giga. Добавляю второй маршрут 192.168.2.0/24 -> 192.168.0.231 так мы получаем доступ с Ultra в сеть за Extra. 4. На Extra добавляю все в обратном порядке: 192.168.0.0/24 -> 192.168.0.1 (получаем доступ к сети за Giga) и 192.168.1.0/24 -> 192.168.0.230 (доступ в сеть за Ultra). 5. На самом Giga настраиваем маршруты 192.168.1.0/24 -> 192.168.0.230 (даем доступ к сети за Ultra) и 192.168.2.0/24 -> 192.168.0.231 (даем доступ к сети за Extra). Единственная проблема - я что-то не понял, как адреса 230 и 231 выдаются VPN-ом. Если при переключении они поменяются местами, то таблица маршрутизации собъется и придется все выставлять руками. Так же странно, но не нашел Interface для VPN через Cli. Хотя ожидал его там увидеть. Соответственно одна из задач решена - сети соединены. Ходят все туда и обратно всего по двум VPN-соединениям. Осталось решить следующие две задачи: А. Ограничить доступ из сети за Extra к сетям за Giga и за Ultra только для всех, кроме одного IP-адреса. Пока не пойму на каком роутере сие делать. Б. Сделать RA IPv6 с Giga на сети за Ultra и Extra. Edited October 13, 2018 by Vladislav Kravchenko Quote Link to comment Share on other sites More sharing options...
Валера Posted October 14, 2018 Share Posted October 14, 2018 (edited) В 13.10.2018 в 17:54, Vladislav Kravchenko сказал: Единственная проблема - я что-то не понял, как адреса 230 и 231 выдаются VPN-ом. Если при переключении они поменяются местами, то таблица маршрутизации собъется и придется все выставлять руками. Поставь галочку Постоянный IP адрес. И настраивать маршрутизацию надо было не по адресам VPN, а по их реальным адресам, шлюз - адрес роутера. В 13.10.2018 в 17:54, Vladislav Kravchenko сказал: А. Ограничить доступ из сети за Extra к сетям за Giga и за Ultra только для всех, кроме одного IP-адреса. Пока не пойму на каком роутере сие делать. Это настраивается межсетевым экраном. Такому-то адресу разрешаем туда или обратно. Edited October 14, 2018 by Валера Quote Link to comment Share on other sites More sharing options...
Vladislav Kravchenko Posted October 15, 2018 Author Share Posted October 15, 2018 11 час назад, Валера сказал: Поставь галочку Постоянный IP адрес. В том-то и дело, что там нет такой галочки VPN-сервер выдает их по своему разумению. 11 час назад, Валера сказал: И настраивать маршрутизацию надо было не по адресам VPN, а по их реальным адресам, шлюз - адрес роутера. В этом и была згвоздка. Giga не маршрутизирует в реальный адрес роутера за VPN. 11 час назад, Валера сказал: Это настраивается межсетевым экраном. Такому-то адресу разрешаем туда или обратно. Вопрос на каком роутере. На Giga (где VPN-сервер) или на Extra (клиенте). Не пускать хочется лишних с Extra в сеть Giga и Ultra. Quote Link to comment Share on other sites More sharing options...
r13 Posted October 15, 2018 Share Posted October 15, 2018 1 минуту назад, Vladislav Kravchenko сказал: В том-то и дело, что там нет такой галочки VPN-сервер выдает их по своему разумению. снимите галку у сервера множественный вход, и все появится. Quote Link to comment Share on other sites More sharing options...
Vladislav Kravchenko Posted October 15, 2018 Author Share Posted October 15, 2018 6 минут назад, r13 сказал: снимите галку у сервера множественный вход, и все появится. Галочка отжата. Но нигде ввести статический адрес нельзя. Quote Link to comment Share on other sites More sharing options...
r13 Posted October 15, 2018 Share Posted October 15, 2018 37 минут назад, Vladislav Kravchenko сказал: Галочка отжата. Но нигде ввести статический адрес нельзя. то есть с отжатой галкой у вас не так настройка пользователя выглядит? 1 Quote Link to comment Share on other sites More sharing options...
Vladislav Kravchenko Posted October 15, 2018 Author Share Posted October 15, 2018 46 минут назад, r13 сказал: то есть с отжатой галкой у вас не так настройка пользователя выглядит? Вот я баран - не увидел. Теперь прописал Quote Link to comment Share on other sites More sharing options...
Валера Posted October 17, 2018 Share Posted October 17, 2018 (edited) В 15.10.2018 в 08:54, Vladislav Kravchenko сказал: Не пускать хочется лишних с Extra в сеть Giga и Ultra. По вашей схеме правила нужно создать на Giga, я бы и на Ultra для надежности прописал каким адресам нельзя и куда. Edited October 17, 2018 by Валера Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.