Клиент VPN PPTP --> Wireguard тоннель

Froller · 7 мая, 2021

Всем привет!

Есть тоннель между 2я Zyxel Ultra (1 поколение) через Wireguard.

Основная подсеть - 192.168.1.0/24 (Wireguard IP 192.168.6.1)

Второстепенная - 192.168.2.0/24 (Wireguard IP 192.168.6.2)

Также в основной подсети поднят PPTP VPN сервер - выдающий адреса из пула 192.168.1.78-87

Задача в том, чтобы клиент подключающийся к PPTP серверу имел доступ до сети 192.168.2.0/24 подключенной через WireGuard.

Уже всю голову сломал) Подскажи, пож-та, как это можно реализовать?

dignus · 8 мая, 2021

Кстати, есть этот же вопрос. У меня два кинетика соединены между собой по VPN. Из сетей соответствующих роутеров в сети друг к другу ходить можно. Но если подключиться к одному из них по VPN, в сеть другого роутера зайти не получается. В чем может быть дело?
Спасибо!

Werld · 8 мая, 2021

1 час назад, dignus сказал:

Кстати, есть этот же вопрос. У меня два кинетика соединены между собой по VPN. Из сетей соответствующих роутеров в сети друг к другу ходить можно. Но если подключиться к одному из них по VPN, в сеть другого роутера зайти не получается. В чем может быть дело?
Спасибо!

Чтобы клиентов впн-сервера кинетика пускало по маршруту в исходящее с этого роутера впн-соединение, нужно чтобы на этом исходящем впн-интерфейсе был признак ip global (в веб-интерфейсе галочка "Использовать для выхода в интернет") Только убедитесь, что приоритет ip global на этом интерфейсе ниже основного соединения к провайдеру, чтобы через впн не шел весь трафик.

В 07.05.2021 в 12:33, Froller сказал:

Задача в том, чтобы клиент подключающийся к PPTP серверу имел доступ до сети 192.168.2.0/24 подключенной через WireGuard.

Уже всю голову сломал) Подскажи, пож-та, как это можно реализовать?

У вас аналогично, убедитесь в наличие признака ip global на wg интерфейсе.

Есть альтернативный способ, не требующий ip global, т.е. не требующий выставления галочки "Использовать для выхода в интернет". Этот способ заключается в навешивании ACL с разрешающими правилами на исходящий впн-интерфейс на out. Но делается это через cli, поэтому вам проще поставить одну галочку и все.

Изменено 8 мая, 2021 пользователем werldmgn

dignus · 11 мая, 2021

On 5/8/2021 at 6:11 PM, werldmgn said:

Чтобы клиентов впн-сервера кинетика пускало по маршруту в исходящее с этого роутера впн-соединение, нужно чтобы на этом исходящем впн-интерфейсе был признак ip global (в веб-интерфейсе галочка "Использовать для выхода в интернет") Только убедитесь, что приоритет ip global на этом интерфейсе ниже основного соединения к провайдеру, чтобы через впн не шел весь трафик.

Работает, но в таком случае нет доступа из второй сети (которая "используется для выхода в интернет") в первую (сеть клиента). Что можно сделать в этой ситуации?

Werld · 11 мая, 2021

56 минут назад, dignus сказал:

Работает, но в таком случае нет доступа из второй сети (которая "используется для выхода в интернет") в первую (сеть клиента). Что можно сделать в этой ситуации?

Не совсем понял, нет доступа из сети сервера в сеть клиента? И что значит "в таком случае"? Без признака ip global доступ из второй сети есть?

dignus · 15 мая, 2021

Верно; Устройство со стороны сервера не может обратиться к устройствам сети-клиента при установке признака ip global. Без этого признака устройства соединяются.

Werld · 15 мая, 2021

1 час назад, dignus сказал:

Верно; Устройство со стороны сервера не может обратиться к устройствам сети-клиента при установке признака ip global. Без этого признака устройства соединяются.

Security-level какой у впн интерфейса на роутере впн-клиенте? Если public, то нужно разрешающее правило в межсетевом экране. По идее ip global никак не влияет на security-level, хотя возможно его установка выставила интерфейсу уровень public.

Tribal_ · 14 июня, 2021

Подниму тему, только у меня ситуация с SSTP.

Есть тоннель по SSTP между Keenetic VIVA и Keenetic EXTRA II

К Keenetic VIVA по Wireguard подключается Android пир и сеть EXTRA II он не видит.

Как это исправить?

Выставлял галочку на VIVA "Использовать для входа в Интернет" - не помогло

Изменено 14 июня, 2021 пользователем Tribal_

vk11 · 15 июня, 2021

11 час назад, Tribal_ сказал:

Выставлял галочку на VIVA "Использовать для входа в Интернет" - не помогло

Вам же нужен не интернет, а сеть, зачем ставите лишние галочки?

Смотрите здесь: VPN-сервер SSTP и, возможно, здесь: Автоматическая отправка дополнительных маршрутов клиентам VPN-сервера

Tribal_ · 16 июня, 2021

В 15.06.2021 в 08:09, vk11 сказал:

Вам же нужен не интернет, а сеть, зачем ставите лишние галочки?

Смотрите здесь: VPN-сервер SSTP и, возможно, здесь: Автоматическая отправка дополнительных маршрутов клиентам VPN-сервера

К сожалению Ваши советы не помогли =(

Froller · 17 июня, 2021

В 08.05.2021 в 18:11, werldmgn сказал:

Чтобы клиентов впн-сервера кинетика пускало по маршруту в исходящее с этого роутера впн-соединение, нужно чтобы на этом исходящем впн-интерфейсе был признак ip global (в веб-интерфейсе галочка "Использовать для выхода в интернет") Только убедитесь, что приоритет ip global на этом интерфейсе ниже основного соединения к провайдеру, чтобы через впн не шел весь трафик.

У вас аналогично, убедитесь в наличие признака ip global на wg интерфейсе.

Есть альтернативный способ, не требующий ip global, т.е. не требующий выставления галочки "Использовать для выхода в интернет". Этот способ заключается в навешивании ACL с разрешающими правилами на исходящий впн-интерфейс на out. Но делается это через cli, поэтому вам проще поставить одну галочку и все.

С галочкой заработало, но до последнего обновления 2.16.D.12.0-0. Теперь снова перестало. Подскажите, есть ли какое-то решение кроме ACL'ов в моем случае?

Werld · 18 июня, 2021

11 час назад, Froller сказал:

С галочкой заработало, но до последнего обновления 2.16.D.12.0-0. Теперь снова перестало. Подскажите, есть ли какое-то решение кроме ACL'ов в моем случае?

Увы, не подскажу, т.к. не использую 2.16. По идее все должно быть как я писал.

dignus · 17 июля, 2021

Понемногу возвращаюсь к этой теме. У меня два кинетика соединяются по L2TP/IPSEC. У обоих есть внешние ip.

1. «Клиентский» кинетик с сетью 192.168.0.0/24

2. «серверный» кинетик с сетью 192.168.10.0/24

Получилось будучи клиентом «клиентского» кинетика через галочку на стороне этого «клиентского» кинетика «Использовать для выхода в интернет» подключаться к сети «серверного» кинетика. Но если попробовать подключаться будучи клиентом «серверного» кинетика, в сети «клиентского» кинетика не попасть…
Пробовал прописать на стороне «клиентского»

Цитата

crypto map VPNL2TPServer l2tp-server dhcp route 192.168.10.0/24

system configuration save

И на стороне «серверного»

Цитата

crypto map VPNL2TPServer l2tp-server dhcp route 192.168.10.0/24

system configuration save

Но это не помогло… Хочется, чтобы из всех сетей был доступ во все сети. Например, сторонний роутер подключается к одному из кинетиков, и внутренняя сеть этого роутера доступна всем остальным.

Кинетиковод · 17 июля, 2021

45 минут назад, dignus сказал:

Но если попробовать подключаться будучи клиентом «серверного» кинетика, в сети «клиентского» кинетика не попасть…

Пропишите в клиентской сети маршрут в сеть L2TP сервера серверной сети. По умолчанию сеть 172...

Werld · 17 июля, 2021

1 час назад, dignus сказал:

crypto map VPNL2TPServer l2tp-server dhcp route 192.168.10.0/24

С l2tp/ipsec, в отличие от чистого ipsec, у вас есть интерфейс, через который вы можете прописывать маршруты, то есть вы можете использовать классическую маршрутизацию. В этом и преимущество l2tp/ipsec не нужно городить policy based routing.

Войти

Клиент VPN PPTP --> Wireguard тоннель

Рекомендуемые сообщения

Froller

dignus

Werld

dignus

Werld

dignus

Werld

Tribal_

vk11

Tribal_

Froller

Werld

dignus

Кинетиковод

Werld

Присоединяйтесь к обсуждению

Последние посетители 0 пользователей онлайн

Обзор

Активность

Магазин

My Details

Важная информация