Кинетиковод

У вас проблемы с подключением к рабочим столам по локалке? Странно. Или в вашей локалке куча NATов? Если вам реально нужны NATы в локалке, то может с пробросом портов поиграться? VPN тут явно ни к чему.

SSTP надо подключать по доменному имени даже из локалки, т.к. в локалке https не работает. Иногда SSTP может капризничать, тогда желательно сначала зайти с внешки. L2TP ещё более капризен и может не подключаться, а потом раз и подключится. Или подключается, а после перезагрузки нет. Тут непонятно в чём дело. В любом случае внутрилокальный VPN является внештатной функцией и её работоспособность как вы читали выше разработчики не заявляли. Но если очень надо, то можно подключиться. Непонятно в каком месте тут требуется работа внутрилокального VPN. Чисто для предварительного тестирования конфига используйте внешку, ибо неработающая внутрянка не говорит о том, что с внешкой есть проблемы.

Странно, но я подключаюсь ко всем VPN серверам из локалки, кроме openvpn tap. Необъяснимо, но факт.

Подключайтесь по локальному адресу Кинетика.

Не не, из локалки тоже подключится. @Mihail Зачем у вас клиент на Гиге настроен? К какому серверу он подключается?

Значит авторизация не проходит, а ошибки авторизации у вас скорее всего не показывает. Надо было попробовать пароль поменять. А раз у вас устройство удалено и не регистрируется, тогда решайте теперь эту проблему. После её успешного решения проблемы с авторизацией быть не должно.

При запуске приложения присутствуют ли строки вида: Core::Authenticator: user "admin" authenticated, realm "Zyxel Keenetic Extra II", tag "cli"

В логах ошибок нет? Может приложение не может авторизоваться?

Может на роутере служба Keenetic Cloud v2 отключена?

Это надо в мемы заносить. 🤣

Это маршрут до сервера, а не в сеть сервера. В данном случае имеет место быть 3 сети: локальная сеть, сеть сервера и удалённая сеть. Между этими сетями должна быть настроена маршрутизация. Маршрутизация на сервере между сетью сервера и локальной сетью настроена по умолчанию. А вот клиент знает только про сеть сервера, но не про локальную сеть за сервером. Поэтому у вас сервер и клиент пингуются, а компы и клиент нет. Клиент просто не знает маршрут в локальную сеть за сервером и не может ответить на пинг. Для решения данной проблемы сервер отправляет клиентам маршрут в локальную сеть за собой, но комп 172.16.2,33 маршрут получает, а Лайт в силу старого ПО нет. Пропишите маршрут в сеть за сервером вручную и Лайт сможет отвечать компам на пинги. Официальная да, но драфт и легаси к вашим услугам. В курилке в архиве enpa всё расписано.

Есть предположение, что из-за крайне старого ПО на клиенте он не получает маршрут в сеть сервера. Пропишите этот маршрут вручную, либо если есть возможность обновите ПО на актуальную версию. Хотя почему не ходят пинги между 172.16.2.33 и 172.16.2.34 не совсем понятно.

Так может на клиенте помимо icmp ещё и tcp открыть?

Покупатели Москвича 412 оказались в аналогичной ситуации. Конечно. Подробности тут Надо тестировать. По идее не должно.

Маршрута в удалённую сеть на сервере что-то не видно. Пропишите маршрут и перезапустите l2tp сервер.

В базу знаний заглянет, там всё добуквенно с картинками. Я так понял он с выбором самого способа не определился. Если есть свой VPN сервер, то конечно лучше использовать его.

Внешний может быть серый или белый. Если белый ip, то прямой доступ, если серый, то облако.

Если есть внешний сервер, то подрубайте KN-1210 к нему клиентом. Если нет, то используйте SSTP сервер на KN-1210 в режиме облака.

О мой Гад! Это видимо тоже для надёжности. https://youtu.be/5KppXjhHJb4

Два в одной локалке? Это как и зачем? Как два dhcp сервера в одной сети уживаются? Кинетики давно работают с двумя провайдерами, два Кинетика в одной локалке не требуется. Если у вас уже эта локалка соединена через l2tp с удалённой, то ещё ipsec городить ни к чему.

Я не знаю что у вас удалено, а что рядом. Подсеть сервера l2tp сделать в диапазоне локалки на Кинетике, который теперь вместо шлюза, иначе схема не заработает. А вот удалённые подсети ни в коем случае не пересекать, они обязательно разные. Допустим локалка 192.168.1.30-70, сеть сервера 192.168.1.200-210.

Тогда создавайте IPsec подключение от нового Кинетика (я так понимаю Старта), до удалённого к которому сейчас L2TP идёт, L2TP обязательно выключайте. Далее на Старте на сервере L2TP пишите диапазон из локальной сети самого Старта, но так чтобы он не пересекался с диапазоном локалки. Удалённый клиент будет при подключении к L2TP сереверу будет получать адрес из локальной сети, которая посредством IPsec соединена с удалённой сетью. Таким образом клиент получит доступ в удалённую локалку, ну и локалку самого Старта, а о провайдере №1 он ничего не узнает. Настройка вся из вебморды за пару минут. Понятно. Кстати роутеров марки Keenetik не существует, есть Keenetic. Ваш за Keenetik Omni III наверное китайская подделка.)))

Подробнее: поднимаем сервер tap, клиента регистрируем и привязываем профиль, где подключением будет L2TP клиент сервера 5.6.7.8. Если адрес сервера великая тайна, то L2TP клиент не должен использоваться для выхода в интернет, а только для объединения сетей. Таким образом openvpn завернёт клиента в туннель. Если L2TP используется для интернета, тогда эту схему можно нагородить из одних openvpn серверов, если они конечно влезут на ваши Омни. Кстати Омни 3 не существует. Что касается переадресации, то у меня это дело не заводится. Между внешкой и локалкой пожалуйста, а остальное никак. Возможно я что-то делаю не так.

Openvpn TAP.

Для внешки используйте SSH, он хотя бы зашифрован.