dr.mikegreen

Это уже звучит как план. А иначе палевно) 🙃

Такое себе решение маршрутизация на VPN для обхода. В следующем пакете блокировок (допустим) заблокируют DNS запросы. Ваш DNS запрос все-равно уходит к провайдеру. Возвращается IP ресурса и только тогда роутер смотрит таблицу маршрутизации. Достаточно заблокировать доменное имя и Ваш обход не сработает.

Попробую нагляднее объяснить. Вот схема сети На Кинетике установлено соединение через SSTP-клиент со статическим адресом. В межсетевом экране настроено так: P.S. Эти правила влияют только на доступность узла 172.20.1.3 (если их выключить, то и он не пингуется). interface SSTP0 description "BK SE VPN" role misc peer my.server.ru no ipv6cp lcp echo 30 3 ipcp default-route ipcp dns-routes ipcp address no ccp security-level public authentication identity KeeneticKam authentication password ns3 *** ip address 172.20.1.3 255.255.255.255 ip dhcp client dns-routes ip access-group _WEBADMIN_SSTP0 in connect up Любой хост сети 10.10.3.0 имеет доступ ко всем хостам сети 172.20.1.0 Ни один клиент сети 172.20.1.0 не может попасть в сеть 10.10.3.0. Softether настроен как виртуальный хаб с DHCP сервером. То есть имитация физического неуправляемого хаба (за исключением DHCP). Из логов ARP и ICMP VPN сервера следует: 1). Пингуем с клиента 172.20.1.21 узел 172.20.1.3 и получаем: ARPv4,Request,-,-,-,-,-,-,Who has 172.20.1.3? Please Tell 5EA572C1AE66(172.20.1.21) ARPv4,Response,-,-,-,-,-,-,CAB8FD11B4A9 has 172.20.1.3 SID-TEST1-9,SID-KEENETICKAM-[SSTP]-10,5EA572C1AE66,CAB8FD11B4A9,0x0800,74,ICMPv4,Echo Request,172.20.1.21,-,172.20.1.3 SID-KEENETICKAM-[SSTP]-10,SID-TEST1-9,CAB8FD11B4A9,5EA572C1AE66,0x0800,74,ICMPv4,Echo Reply,172.20.1.3,-,172.20.1.21 2). Пингуем с клиента 172.20.1.21 узел 10.10.3.38 и получаем: ARPv4,Request,-,-,-,-,-,-,Who has 172.20.1.3? Please Tell 5EA572C1AE66(172.20.1.21) ARPv4,Response,-,-,-,-,-,-,CAB8FD11B4A9 has 172.20.1.3 SID-TEST1-4,SID-KEENETICKAM-[SSTP]-3,5EA572C1AE66,CAB8FD11B4A9,0x0800,74,ICMPv4,Echo Request,172.20.1.21,-,10.10.3.38 Ответ не возвращается. P.P.S. Файерволы компьютеров в сети 10.10.3.0 не блокируют ничего. С самого Кинетика пинги проходят. Про захват пакетов в Кинетике на VPN подключении. Когда пингуем узел 172.20.1.3, пакеты хватаются без проблем: Когда пингуем узел 10.10.3.38, нет ICMP пакетов, только эхо в сеть 172.20.1.0 Если еще что-то нужно пришлю. Я уже пару недель бьюсь. Прям убиваюсь) Помогите люди добрые!)

Там Sofrether сервер. Он пропускает пакеты, там по умолчанию виртуальная сеть без ограничений. Маршрут в настройках добавлен в сеть 10.10.3.0 через адрес кинетика (172.20.1.3).

Добрый день! Вопрос про Keenetic VIVA Есть некий SSTP VPN сервер. Роутер Keenetic является клиентом со статическим адресом 172.20.1.3. В таблице маршрутов есть запись 172.20.1.0/24 172.20.1.3. Клиенты локальной сети роутера (10.10.3.0/24) без проблем ходят в сеть 172.20.1.3, видят всех клиентов SSTP сервера. Однако из VPN сети невозможно попасть в локальную сеть. По рекомендации из мануала для роутера, являющегося VPN клиентом, были сделаны соответствующие настройки межсетевого экрана. Для интерфейса, через который происходит подключение, установлены разрешающие правила для всех входящих соединений по протоколам TCP, UDP и ICMP. Однако сеть 10.10.3.0 так и не доступна клиентам сети 172.20.1.0 Может кто-то знает как разрешить подключения к локальной сети? P.S. На SSTP сервере имеется маршрут 10.10.3.0/24 172.20.1.3. Узел 172.20.1.3 доступен внутри этой сети.