Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

Архитектура сети и выбор vpn между кинетиками

T3ch Cat
 Поделиться

Рекомендуемые сообщения

T3ch Cat Новичок

T3ch Cat

Опубликовано
Опубликовано (изменено)

Привет

Вопрос будет с довольно длинной преамбулой (в аттаче схема человека, первый раз в жизни рисовавшего сеть)

Есть по сути три точки выхода в интернет:
- Keenetic 1 (Air)
- Keenetic 2 (Giga)
- vps сервер

Белый ip на Keenetic 1 и vps
Keenetic 2 стоит за провайдерским роутером, на котором нету белого ip

В сети Keenetic 2 все основные ресурсы: стоят сервера с веб сервисами, samba и бэкапами
На VPS стоят веб сервисы

На keenetic 1 поднят pptp vpn сервер, к нему подключаются keenetic 2 и vps, нужно доступ между ними - присутствует

Что я хочу получить:
- единую сеть, где можно из любой точки (keenetic 1, keenetic 2, vps) получить доступ к ресурсам любой другой точки
- vpn (L2TP? хотелось бы тот, который нативно поддерживается в ios/macos, либо openvpn) сервер на vps для подключения с ноутбука/телефона ко всей сети
- прямой доступ между keenetic 1 и keenetic 2 (чтобы не гонять трафик через vps, если нужно например забэкапиться из сети keenetic 1 в сеть keenetic 2)
- доступ к провайдерском роутеру из любой точки сети

Вопросы:
- достаточно ли будет pptp для межсетевого взаимодействия (включая мобильные устройства), чтобы не прописывая роуты на дейвасах иметь доступ к ресурсам любой подсети? (прерывистые линии - непрямой доступ, который "хотелось бы чтобы работал")
- не получается подключиться к провайдерскому роутеру (192.168.0.1) из сети keenetic 1 (192.168.3.0/24) (по сути цепочка должна выглядеть так: устройство - keenetic 1 - pptp до keenetic 2 - роутинг на провайдерский роутер - провайдерский роутер), keenetic 2 подключается к pptp на keenetic 1 как клиент 172.168.1.2 и имеет прямой доступ к провайдерскому роутеру
при этом прописаны роуты:
  - keenetic 1: 192.168.0.0/24 -> 172.168.1.2
  - keenetic 2: 192.168.0.0/24 -> 192.168.0.1
- любые рекомендации, что можно улучшить в сети 

 

Спасибо

408759226_ScreenShot2021-02-18at01_25_20.thumb.png.56821edf1139a4289d5081d63df28ba8.png

 

Изменено пользователем T3ch Cat
clarification
Werld Старожил

Werld

Опубликовано
Опубликовано
12 часа назад, T3ch Cat сказал:

- не получается подключиться к провайдерскому роутеру (192.168.0.1) из сети keenetic 1 (192.168.3.0/24) (по сути цепочка должна выглядеть так: устройство - keenetic 1 - pptp до keenetic 2 - роутинг на провайдерский роутер - провайдерский роутер), keenetic 2 подключается к pptp на keenetic 1 как клиент 172.168.1.2 и имеет прямой доступ к провайдерскому роутеру
при этом прописаны роуты:
  - keenetic 1: 192.168.0.0/24 -> 172.168.1.2
  - keenetic 2: 192.168.0.0/24 -> 192.168.0.1

На кинетике 2 есть маршрут в сеть кинетика 1(192.168.3.0/24)? На впн-интерфейсе кинетика 2 есть разрешающие правила межсетевого экрана? На кинетике 1 есть маршрут в сеть кинетика 2 (192.168.1.0/24)?

T3ch Cat Новичок

T3ch Cat

Опубликовано
  • Автор
Опубликовано
42 minutes ago, werldmgn said:

На кинетике 2 есть маршрут в сеть кинетика 1(192.168.3.0/24)? На впн-интерфейсе кинетика 2 есть разрешающие правила межсетевого экрана? На кинетике 1 есть маршрут в сеть кинетика 2 (192.168.1.0/24)?

На кинетике 2 есть маршруты к кинетику 1 и его сети:

1204589075_ScreenShot2021-02-18at14_46_05.thumb.png.9254acb56393b40887fd0ab22787ab93.png

На впн интерфейсе кинетика 2 выставлено правило для pptp vpn соединения

1603765857_ScreenShot2021-02-18at14_48_43.thumb.png.72cf8f06c159377337bb15af7225bdcd.png

На кинетике 1 пользовательские маршруты:

265751254_ScreenShot2021-02-18at14_50_41.thumb.png.9619a34aefc90a5bcb64184be1a49fd6.png

На кинетике 1 в таблице роутинга:

2055216531_ScreenShot2021-02-18at14_51_31.thumb.png.a4149e1bf02c228d4bff07ce17482f42.png

KorDen Старожил

KorDen

Опубликовано
Опубликовано

- PPTP похоронить

- Для связи с Giga использовать IPIPoverIPsec или IPsec IKEv2. У них наименьший оверхед среди других вариантов с IPsec, особенно в сравнении с популярным L2TP/IPSec

- Для связи с Air можно попробовать использовать Wireguard, может быть быстрее. Либо те же ***IPsec

- маршруты в любом случае придется прописать на роутерах и VPS.

Для подключения мобил-ноутов L2TP/IPsec сойдет как наиболее универсальное.

T3ch Cat Новичок

T3ch Cat

Опубликовано
  • Автор
Опубликовано
1 minute ago, KorDen said:

- PPTP похоронить

- Для связи с Giga использовать IPIPoverIPsec или IPsec IKEv2. У них наименьший оверхед среди других вариантов с IPsec, особенно в сравнении с популярным L2TP/IPSec

- Для связи с Air можно попробовать использовать Wireguard, может быть быстрее. Либо те же ***IPsec

- маршруты в любом случае придется прописать на роутерах и VPS.

Для подключения мобил-ноутов L2TP/IPsec сойдет как наиболее универсальное.

спасибо за ответ.

pptp потому что использовал инструкцию с сайта :) до этого был ipsec туннель между кинетиками - почему-то работал иногда нестабильно, отваливался коннект. сейчас месяц висит pptp - "ни единого разрыва". но смотрю в сторону openvpn (благо инструкция тоже есть для кинетиков).

"- Для связи с Giga использовать IPIPoverIPsec или IPsec IKEv2" - не очень понял этот пункт. откуда-куда связь? потому что на нем нету белого ip, доступ к нему хочу получать через роутинг с кинетика 1 и vps

"- Для связи с Air можно попробовать использовать Wireguard, может быть быстрее. Либо те же ***IPsec" - обязательно попробую wg

"- маршруты в любом случае придется прописать на роутерах и VPS." - да, это не проблема, сеть маленькая, реконфигураций особо нету, один раз прописал и забыл

"Для подключения мобил-ноутов L2TP/IPsec сойдет как наиболее универсальное." - будет ли достаточно при этом статических роутов на всех узлах? с макбуком наблюдаю иногда странную историю - не хочет роутиться (по крайней мере пока жил на ipsec туннеле между кинетиками - так было, с pptp пока не видел проблем), притом что ios нормально всё видит в это же время. рестарт макбука - всё чинится. насколько я узнал, роуты может пушить клиенту openvpn - есть ли смысл тогда использовать его для доступа, чтобы не иметь проблем с роутингом?

Werld Старожил

Werld

Опубликовано
Опубликовано

@T3ch Cat Думаю, еще на роутере провайдера нужен маршрут до 192.168.3.0/24. Так как, по идее, кинетик 2 пересылая пакеты от кинетик 1 не натит их, то до провайдерского роутера они доходят с адресом источника из сети 192.168.3.0/24, а значит чтобы отправлять ответы, этому роутеру тоже нужен маршрут.

KorDen Старожил

KorDen

Опубликовано
Опубликовано (изменено)
2 часа назад, T3ch Cat сказал:

не очень понял этот пункт. откуда-куда связь

Имеется ввиду любые связи с девайсом (исходящие, входящие - не важно) лучше делать на указанных протоколах с точки зрения производительности.

У Giga криптоускоритель, можно на практике получить 150 (до 200 в вакууме) мбит/с в IPsec, Wireguard вроде чуть медленнее

У Air IPsec выдаст 25-30 мбит/с и там Wireguard может быть быстрее

С макбуками не подскажу, OpenVPN тормозной и лучше использовать как последний вариант

Изменено пользователем KorDen

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю