Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

Double VPN ( маршрутизация трафика от VPN клиента через VPN туннель)

Amid000
 Поделиться

Рекомендуемые сообщения

Amid000 Новичок

Amid000

Опубликовано
Опубликовано

Приветствую, коллеги!

Подскажите пожалуйста, кто настраивал следующую схему подключения:

VPN Клиент (пользователь) --- L2TP/IPSec--> Keentic VPN сервер GW1  -- L2TP/IPSec--> Удаленный VPN сервер GW2

Мне нужно направить траффик от VPN пользователей подключенных через VPN к Keentic через VPN туннель установленный этим роутером с удаленным L2TP/IPsec сервером.

 

В теории все должно быть просто

1. У клиента используем GW1  как шлюз по умолчанию (настройка VPN клиента по умолчанию).

2. На GW1 настраиваем маршрут до подсетей находящихся за удаленным GW2. Разрешаем траффик в обе стороны. В настройках VPN подключения к GW2 снимаем галку - Использовать для подключения к Интернет т.к мы не хотим траффик от GW1 перенаправять через туннель.

3. На удаленном VPN сервер настраиваем маршрут до подсети выдваваемой VPN клиентам Keenetic VPN сервер. Разрешаем траффик в обе стороны

 

Но проблема в том, что VPN клиент не может получить доступ к сетям находящимся за GW2, трафик оседает в домашней сети GW1 и дальше не идет.

Если поставтить галочку "Использовать для доступа в Интернет" для VPN подключения к GW2 на Keenetic GW1, и понизить приоритет этого подключения (опустить его ниже подключения Интернет) то  в целом работает, но это кака-я то странная схема :)

Можно ли пробросить подключения от VPN пользователей к подсетям находящимся за GW2 "по человечески" ?

Спасибо!

 

P.S. Я нашел несколько ссылок, похоже что можно этого добиться используя командную строку, а можно это сделать через Web интерфейс? :)

 

 

Werld Старожил

Werld

Опубликовано
Опубликовано
23 часа назад, Amid000 сказал:

в целом работает, но это какая-то странная схема

Это не странная схема, а установленная разработчиками логика работы. Для впн-клиентов форвард разрешен только в интерфейсы с признаком ip global (галочка "Использовать для выхода в интернет"), иначе форвард запрещен. Если по какой-то причине не хотите ставить эту галочку, создавайте вручную правила разрешающие нужный вам форвард (делается через cli), примеры как раз в теме по ссылке.

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю