Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

Клиент VPN PPTP --> Wireguard тоннель

Froller
 Поделиться

Рекомендуемые сообщения

Froller Новичок

Froller

Опубликовано
Опубликовано

Всем привет!

Есть тоннель между 2я Zyxel Ultra (1 поколение) через Wireguard.

Основная подсеть - 192.168.1.0/24 (Wireguard IP 192.168.6.1)

Второстепенная - 192.168.2.0/24 (Wireguard IP 192.168.6.2)

Также в основной подсети поднят PPTP VPN сервер - выдающий адреса из пула 192.168.1.78-87

 

Задача в том, чтобы клиент подключающийся к PPTP серверу имел доступ до сети 192.168.2.0/24 подключенной через WireGuard.

Уже всю голову сломал) Подскажи, пож-та, как это можно реализовать?

dignus Новичок

dignus

Опубликовано
Опубликовано

Кстати, есть этот же вопрос. У меня два кинетика соединены между собой по VPN. Из сетей соответствующих роутеров в сети друг к другу ходить можно. Но если подключиться к одному из них по VPN, в сеть другого роутера зайти не получается. В чем может быть дело?
Спасибо!

Werld Старожил

Werld

Опубликовано
Опубликовано (изменено)

 

  В 08.05.2021 в 13:46, dignus сказал:

Кстати, есть этот же вопрос. У меня два кинетика соединены между собой по VPN. Из сетей соответствующих роутеров в сети друг к другу ходить можно. Но если подключиться к одному из них по VPN, в сеть другого роутера зайти не получается. В чем может быть дело?
Спасибо!

Показать  

Чтобы клиентов впн-сервера кинетика пускало по маршруту в исходящее с этого роутера впн-соединение, нужно чтобы на этом исходящем впн-интерфейсе был признак ip global (в веб-интерфейсе галочка "Использовать для выхода в интернет") Только убедитесь, что приоритет ip global на этом интерфейсе ниже основного соединения к провайдеру, чтобы через впн не шел весь трафик. 

  В 07.05.2021 в 07:33, Froller сказал:

Задача в том, чтобы клиент подключающийся к PPTP серверу имел доступ до сети 192.168.2.0/24 подключенной через WireGuard.

Уже всю голову сломал) Подскажи, пож-та, как это можно реализовать?

Показать  

У вас аналогично, убедитесь в наличие признака ip global на wg интерфейсе. 

Есть альтернативный способ, не требующий ip global, т.е. не требующий выставления галочки "Использовать для выхода в интернет". Этот способ заключается в  навешивании ACL с разрешающими правилами на исходящий впн-интерфейс на out. Но делается это через cli, поэтому вам проще поставить одну галочку и все.

Изменено пользователем werldmgn
dignus Новичок

dignus

Опубликовано
Опубликовано
  В 08.05.2021 в 15:11, werldmgn сказал:

Чтобы клиентов впн-сервера кинетика пускало по маршруту в исходящее с этого роутера впн-соединение, нужно чтобы на этом исходящем впн-интерфейсе был признак ip global (в веб-интерфейсе галочка "Использовать для выхода в интернет") Только убедитесь, что приоритет ip global на этом интерфейсе ниже основного соединения к провайдеру, чтобы через впн не шел весь трафик. 

Показать  

Работает, но в таком случае нет доступа из второй сети (которая "используется для выхода в интернет") в первую (сеть клиента). Что можно сделать в этой ситуации?

Werld Старожил

Werld

Опубликовано
Опубликовано
  В 11.05.2021 в 17:26, dignus сказал:

Работает, но в таком случае нет доступа из второй сети (которая "используется для выхода в интернет") в первую (сеть клиента). Что можно сделать в этой ситуации?

Показать  

Не совсем понял, нет доступа из сети сервера в сеть клиента? И что значит "в таком случае"? Без признака ip global доступ из второй сети есть?

dignus Новичок

dignus

Опубликовано
Опубликовано

Верно; Устройство со стороны сервера не может обратиться к устройствам сети-клиента при установке признака ip global. Без этого признака устройства соединяются.

Werld Старожил

Werld

Опубликовано
Опубликовано
  В 15.05.2021 в 15:17, dignus сказал:

Верно; Устройство со стороны сервера не может обратиться к устройствам сети-клиента при установке признака ip global. Без этого признака устройства соединяются.

Показать  

Security-level какой у впн интерфейса на роутере впн-клиенте? Если public, то нужно разрешающее правило в межсетевом экране. По идее ip global никак не влияет на security-level, хотя возможно его установка выставила интерфейсу уровень public.

  • 5 недель спустя...
Tribal_ Пользователь

Tribal_

Опубликовано
Опубликовано (изменено)

Подниму тему, только у меня ситуация с SSTP.

Есть тоннель по SSTP между Keenetic VIVA и Keenetic EXTRA II

К Keenetic VIVA по Wireguard подключается Android пир и сеть EXTRA II он не видит.

Как это исправить?

Выставлял галочку на VIVA "Использовать для входа в Интернет" - не помогло

Изменено пользователем Tribal_
vk11 Старожил

vk11

Опубликовано
Опубликовано
  В 14.06.2021 в 17:13, Tribal_ сказал:

Выставлял галочку на VIVA "Использовать для входа в Интернет" - не помогло

Показать  

Вам же нужен не интернет, а сеть, зачем ставите лишние галочки?

Смотрите здесь: VPN-сервер SSTP и, возможно, здесь: Автоматическая отправка дополнительных маршрутов клиентам VPN-сервера

Tribal_ Пользователь

Tribal_

Опубликовано
Опубликовано
  В 15.06.2021 в 05:09, vk11 сказал:

Вам же нужен не интернет, а сеть, зачем ставите лишние галочки?

Смотрите здесь: VPN-сервер SSTP и, возможно, здесь: Автоматическая отправка дополнительных маршрутов клиентам VPN-сервера

Показать  

К сожалению Ваши советы не помогли =(

Froller Новичок

Froller

Опубликовано
  • Автор
Опубликовано
  В 08.05.2021 в 15:11, werldmgn сказал:

 

Чтобы клиентов впн-сервера кинетика пускало по маршруту в исходящее с этого роутера впн-соединение, нужно чтобы на этом исходящем впн-интерфейсе был признак ip global (в веб-интерфейсе галочка "Использовать для выхода в интернет") Только убедитесь, что приоритет ip global на этом интерфейсе ниже основного соединения к провайдеру, чтобы через впн не шел весь трафик. 

У вас аналогично, убедитесь в наличие признака ip global на wg интерфейсе. 

Есть альтернативный способ, не требующий ip global, т.е. не требующий выставления галочки "Использовать для выхода в интернет". Этот способ заключается в  навешивании ACL с разрешающими правилами на исходящий впн-интерфейс на out. Но делается это через cli, поэтому вам проще поставить одну галочку и все.

Показать  

С галочкой заработало, но до последнего обновления 2.16.D.12.0-0. Теперь снова перестало. Подскажите, есть ли какое-то решение кроме ACL'ов в моем случае?

Werld Старожил

Werld

Опубликовано
Опубликовано
  В 17.06.2021 в 20:29, Froller сказал:

С галочкой заработало, но до последнего обновления 2.16.D.12.0-0. Теперь снова перестало. Подскажите, есть ли какое-то решение кроме ACL'ов в моем случае?

Показать  

Увы, не подскажу, т.к. не использую 2.16. По идее все должно быть как я писал.

  • 5 недель спустя...
dignus Новичок

dignus

Опубликовано
Опубликовано

Понемногу возвращаюсь к этой теме. У меня два кинетика соединяются по L2TP/IPSEC. У обоих есть внешние ip. 

1. «Клиентский» кинетик с сетью 192.168.0.0/24

2. «серверный» кинетик с сетью 192.168.10.0/24

Получилось будучи клиентом «клиентского» кинетика через галочку на стороне этого «клиентского» кинетика «Использовать для выхода в интернет» подключаться к сети «серверного» кинетика. Но если попробовать подключаться будучи клиентом «серверного» кинетика, в сети «клиентского» кинетика не попасть… 
Пробовал прописать на стороне «клиентского»

  Цитата

crypto map VPNL2TPServer l2tp-server dhcp route 192.168.10.0/24

system configuration save

Показать  

И на стороне «серверного»

  Цитата

 

crypto map VPNL2TPServer l2tp-server dhcp route 192.168.10.0/24

system configuration save

 

Показать  


Но это не помогло… Хочется, чтобы из всех сетей был доступ во все сети. Например, сторонний роутер подключается к одному из кинетиков, и внутренняя сеть этого роутера доступна всем остальным.

Кинетиковод Старожил

Кинетиковод

Опубликовано
Опубликовано
  В 17.07.2021 в 14:51, dignus сказал:

Но если попробовать подключаться будучи клиентом «серверного» кинетика, в сети «клиентского» кинетика не попасть… 

Показать  

Пропишите в клиентской сети маршрут в сеть L2TP сервера серверной сети. По умолчанию сеть 172...

Werld Старожил

Werld

Опубликовано
Опубликовано
  В 17.07.2021 в 14:51, dignus сказал:

crypto map VPNL2TPServer l2tp-server dhcp route 192.168.10.0/24

Показать  

С l2tp/ipsec, в отличие от чистого ipsec, у вас есть интерфейс, через который вы можете прописывать маршруты, то есть вы можете использовать классическую маршрутизацию. В этом и преимущество l2tp/ipsec не нужно городить policy based routing. 

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю