Jump to content
  • 0

VPN сервер, клиенты не видят друг друга


rm2
 Share

Question

на ULTRA 2 поднял Сервер PPTP.

прошивка - альфа А7

из интернета к серверу подключаются клиенты, первому присваивается IP 172.16.1.30, второму - 172.16.1.31. клиенты могут пинговать друг друга, но доступа к портам что по TCP, что по UDP - нет, разные сетевые приложения через эти IP адреса не работают. Доступ к локальной сети роутера (той что 192.168.1.*) - не нужен. Нужно чтобы между клиентами была своя сеть, со своими адресами, и что бы клиенты могли видеть друг друга. Пробывал настроить межсетевой экран - но интерфейса VPN там нет, а если для локалки открывтаь порты - то все равно клиенты друг друга не видят.

Что я делаю не так? Статьи из серии kb4214 советы не помогают - единственное что там есть - это настройка маршрута из одной подсети в другую, но мне нужно просто чтобы клиенты друг друга видели в рамках тех IP что им выдаются при подключение, а не лазали в локалку.

Link to comment
Share on other sites

11 answers to this question

Recommended Posts

  • 0

Сегодня был собран тестовый стенд из 2-х машин на windows 7 с отключенными брендмауэрами, и испытана ваша схема.

В результате тестов было обнаружено, что все работоспособно: пинги проходит, расшаренные папки на обеих машинах видны с обоих сторон туннелей.

Есть подозрение, что может быть виновата настройка брендмауера (попробуйте выключить его совсем на обоих клиентах), или же недостаточен MTU - попробуйте на vpn-интерфейсах клиентов снизить MTU до 1280 (например https://support.zen.co.uk/kb/Knowledgebase/Changing-the-MTU-size-in-Windows-Vista-7-or-8 ), и еще если не затруднит - выложите пожалуйста self-test устройства.

В любом случае, если проходят пинги (пакеты малого размера), значит внутри кинетика пакеты обрабатываются верно и все должно работать - нужно искать причину извне.

Link to comment
Share on other sites

  • 0

спасибо за ваш ответ.

попробуйте одну машину подключать из интернета,

а вторую - хоть и по интернетовскому адресу, но чтобы она была к роутеру подключена как один из компов локалки роутера.

т.е. на роутере включаем впн сервер

выясняем его внешний интернетовский wan ip адрес. (у меня он динамический, поэтому я всем клиентам его сначала передаю)

потом на машине А, которая вообще к сети роутера отношения не имеет настраиваем впн подключение стандартными средствами Windows7 на этот адресс, подключаемся, впн сервер выделяет адрес этой машине, скажем 172.16.1.30

берем машину Б, которая подключена к роутеру, и которой роутер раздает интернет.

также как на машине А настраиваем впн подключение, в качестве адреса на который подключаться опять указываем интернетовский wan адресс роутера.

подключаемся, впн сервер выделяет адрес этой машине, скажем 172.16.1.31

вот после этого пинги между А и Б есть, а обращения по tcp и udp - не работают. брендмауеры, естественно, везде выключены.

Link to comment
Share on other sites

  • 0

Несмотря на то, что нахожу вашу схему несколько необычной, ее тоже проверил: все работоспособно.

Приклыдваю self-test роутера с подключенными двумя клиентами - один через IPoE WAN с адреса 192.168.2.220 (IPoE WAN роутера 192.168.2.10) с внутренним адресом 172.16.1.33, другой через LAN (LAN подсеть роутера 192.168.5.0/24) с адреса 192.168.5.33 (внутренний адрес 172.16.1.34).

Из этого self-test видно, что оба клиента успешно подключены, и в conntrack имеется запись

tcp      6 1197 ESTABLISHED src=172.16.1.33 dst=172.16.1.34 sport=49185 dport=139 packets=1511 bytes=240011 src=172.16.1.34 dst=172.16.1.33 sport=139 dport=49185 packets=1982 bytes=1615365 [ASSURED] mark=0 use=2

Которая подтверждает успешный обмен данными между vpn-клиентами.

Просьба еще раз проверить вашу схему и прислать self-test вашего роутера в момент, когда подключены клиенты, они успешно пингуют друг друга, но нету связи по другим протоколам.

self-test(3).txt.zip

Link to comment
Share on other sites

  • 0

Вроде разобрался в чем была причина - я использовал широковещательные udp заросы. А они, как я понимаю через pptp vpn не работают.

поэтому вопрос:

1) это можно как то обойти?

2) может быть они будут работать на уровне IPsec VPN?

Link to comment
Share on other sites

  • 0

и еще вопрос:

а как сделать свой собственный сегмент сети, с выделением ему физического порта, так чтобы VPN имели доступ к этой сети? Я создал стандартными средствами новый сегмент, отвязал порт от от "home" сети и добавил его в новый сегмент, однако на странице настроек VPN сервера в выпадающем списке у опции "Доступ к сети:" этот сегмент новый так и не появился... я чтото не понимаю?

Link to comment
Share on other sites

  • 0
и еще вопрос:

а как сделать свой собственный сегмент сети, с выделением ему физического порта, так чтобы VPN имели доступ к этой сети? Я создал стандартными средствами новый сегмент, отвязал порт от от "home" сети и добавил его в новый сегмент, однако на странице настроек VPN сервера в выпадающем списке у опции "Доступ к сети:" этот сегмент новый так и не появился... я чтото не понимаю?

Видимо, известный глюк с security-level private. Попробуйте выставить данный параметр сегменту через CLI.

Link to comment
Share on other sites

  • 0
Видимо, известный глюк с security-level private. Попробуйте выставить данный параметр сегменту через CLI.

Спасибо за ответ. А с широковещанием через VPN как быть?

Link to comment
Share on other sites

  • 0
Видимо, известный глюк с security-level private. Попробуйте выставить данный параметр сегменту через CLI.

Спасибо за ответ. А с широковещанием через VPN как быть?

Какое конкретно у вас широковещание: на весь интернет, или именно на broadcast-адрес удаленной сети?

Link to comment
Share on other sites

  • 0
Видимо, известный глюк с security-level private. Попробуйте выставить данный параметр сегменту через CLI.

Спасибо за ответ. А с широковещанием через VPN как быть?

Какое конкретно у вас широковещание: на весь интернет, или именно на broadcast-адрес удаленной сети?

В идеале должно быть следующее:

1) на роутере есть два сегмента. один обычный домашний 192.168.1.1

часть физических портов и весь вай фай - это домашние пользователи, TV, которые используют интернет, dlna, торрент.

2) второй сегмент - рабочий, т.е. для работы. у него должна быть оставшаяся часть портов, к которым подключен сервер, а также к этой подсети должны подключаться впн клиенты(как внешние пользователи, откуда нибудь из интернета, так и внутренние, из домашней сети, тоже через впн). соответственно, адресное пространство там что нибудь из серии 192.168.2.1

3) физически эти сегменты должны быть отделены друг от друга, чтобы иначе чем через впн и через выделенный физический порт нельзя было никак в рабочую сеть попасть из домашней, и из рабочей в домашнюю

4) некоторые клиенты впн используют программное обеспечение, которое рассылает в рамках этой подсети 192.168.2.1 широковещательные сообщения. грубо говоря, на компах клиентов стоят агенты, которые при помощи широковещательных udp запросов находят друг друга.

так вот, широковещательные эти запросы не проходят в рамках впн сети. т.е. если послать по сети 192.168.2.1 броадкаст сообщение - то клиенты 192.168.2.2, 192.168.2.3 и прочие подобные его не получат.

я пробывал создать сегмент, и в настройках Сервера PPTP пул адрессов выдавать из числа адресов этого сегмента - но в списке опции "Доступ к сети" не этого сегмента.

Link to comment
Share on other sites

  • 0

up!

Так же интересовал этот вопрос, технология в частности udp broadcast. В сети нашёл что-то невнятное на основе openvpn (бридж).

В гугле можно искать по статьям в стиле lan game openvpn broadcast. Бывает используется старый софт, когда как раз этот udp broadcast очень нужен.

Железка viva, возможно есть какой-то способ для реализации данной задачи? Через (PPTP) - на сколько я понял - реализовать это нельзя, на openvpn заведётся?

Link to comment
Share on other sites

  • 0
up!

Так же интересовал этот вопрос, технология в частности udp broadcast. В сети нашёл что-то невнятное на основе openvpn (бридж).

В гугле можно искать по статьям в стиле lan game openvpn broadcast. Бывает используется старый софт, когда как раз этот udp broadcast очень нужен.

Железка viva, возможно есть какой-то способ для реализации данной задачи? Через (PPTP) - на сколько я понял - реализовать это нельзя, на openvpn заведётся?

Да, на openvpn + keenopt/entware довольно легко.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...