Вопрос по VPN PPTP

[support@cyber.com.ru]

Что-то никак не удается добиться правильной работы VPN. Подскажите, что делаю не так?

Есть офисная сеть 192.168.1.0/24. В этой сети есть сервер Windows 192.168.1.250, который заодно является сервером DHCP и DNS, от него по DHCP клиенты получают сетевые параметры: DNS 192.168.1.250 и шлюз 192.168.1.254. 192.168.1.254 - это Zyxel Keenetic.

На Zyxel Keenetic в локальной сети задан IP-адрес 192.168.1.254/24, включен NAT, выключен DHCP. Также на Zyxel Keenetic созданы следующие внешние подключения: PPPoE-подключение к интернету (используемое по умолчанию) и два подключения по выделенной линии со статически заданными IP-адресами: 10.1.144.3/24 (служебная закрытая сеть) и xx.yy.124.80/25 (публичная сеть). Также на Zyxel Keenetic добавлены статические маршруты на 10.0.0.0/8 (через интерфейс с 10.1.144.3) и на xx.yy.124.0/22 (через интерфейс с xx.yy.124.80). Кроме того, для этих интерфейсов добавлены DNS-сервера (10.1.128.11 и xx.yy.124.1).

Из офисной сети все работает отлично - выход в интернет через PPPoE, доступ к публичной сети xx.yy.124.0/22 натится через xx.yy.124.80, доступ к служебной сети 10.0.0.0/8 натится через 10.1.144.3.

Теперь я хочу обеспечить возможность подключения к офисной сети и офисным ресурсам через VPN. Добавил компонент VPN-сервер, добавил пользователя с правом доступа VPN-сервер, в разделе "Приложения" включил VPN-сервер, настроил диапазон 192.168.1.100-109 (этот диапазон исключен из пула адресов DHCP-сервера), для VPN-подключений включил NAT.

На удаленном ПК настраиваю VPN-подключение, успешно подключаюсь, получаю IP-адрес 192.168.1.100. Узлы из 192.168.1.0/24 успешно пингуются, в интернет через PPPoE выхожу. Но узлы в xx.yy.124.0/22 и 10.0.0.0/8 недоступны. Отчего так?

Если для дополнительных интерфейсов (10.1.144.3 и xx.yy.124.80) указать security-level private, то эти интерфейсы появляются в настройках VPN-сервера (выпадающий список с выбором интерфейсов, к которым нужно давать доступ). При выборе этих интерфейсов после установки VPN-подключения к узлам в этих подсетях доступ появляется, но пропадает к остальным. Ну и офисная сеть перестает работать, так как для security-level private они более не натятся.

У меня есть подозрение, что при включении NAT в настройках VPN-сервера трансляция осуществляется только на те интерфейсы, у которых в свойствах отмечено, что они используются для выхода в интернет.

Изменено 21 января, 2017 пользователем support@cyber.com.ru

[r13]

1 час назад, support@cyber.com.ru сказал:

Что-то никак не удается добиться правильной работы VPN. Подскажите, что делаю не так?

Есть офисная сеть 192.168.1.0/24. В этой сети есть сервер Windows 192.168.1.250, который заодно является сервером DHCP и DNS, от него по DHCP клиенты получают сетевые параметры: DNS 192.168.1.250 и шлюз 192.168.1.254. 192.168.1.254 - это Zyxel Keenetic.

На Zyxel Keenetic в локальной сети задан IP-адрес 192.168.1.254/24, включен NAT, выключен DHCP. Также на Zyxel Keenetic созданы следующие внешние подключения: PPPoE-подключение к интернету (используемое по умолчанию) и два подключения по выделенной линии со статически заданными IP-адресами: 10.1.144.3/24 (служебная закрытая сеть) и xx.yy.124.80/25 (публичная сеть). Также на Zyxel Keenetic добавлены статические маршруты на 10.0.0.0/8 (через интерфейс с 10.1.144.3) и на xx.yy.124.0/22 (через интерфейс с xx.yy.124.80). Кроме того, для этих интерфейсов добавлены DNS-сервера (10.1.128.11 и xx.yy.124.1).

Из офисной сети все работает отлично - выход в интернет через PPPoE, доступ к публичной сети xx.yy.124.0/22 натится через xx.yy.124.80, доступ к служебной сети 10.0.0.0/8 натится через 10.1.144.3.

Теперь я хочу обеспечить возможность подключения к офисной сети и офисным ресурсам через VPN. Добавил компонент VPN-сервер, добавил пользователя с правом доступа VPN-сервер, в разделе "Приложения" включил VPN-сервер, настроил диапазон 192.168.1.100-109 (этот диапазон исключен из пула адресов DHCP-сервера), для VPN-подключений включил NAT.

На удаленном ПК настраиваю VPN-подключение, успешно подключаюсь, получаю IP-адрес 192.168.1.100. Узлы из 192.168.1.0/24 успешно пингуются, в интернет через PPPoE выхожу. Но узлы в xx.yy.124.0/22 и 10.0.0.0/8 недоступны. Отчего так?

Если для дополнительных интерфейсов (10.1.144.3 и xx.yy.124.80) указать security-level private, то эти интерфейсы появляются в настройках VPN-сервера (выпадающий список с выбором интерфейсов, к которым нужно давать доступ). При выборе этих интерфейсов после установки VPN-подключения к узлам в этих подсетях доступ появляется, но пропадает к остальным. Ну и офисная сеть перестает работать, так как для security-level private они более не натятся.

У меня есть подозрение, что при включении NAT в настройках VPN-сервера трансляция осуществляется только на те интерфейсы, у которых в свойствах отмечено, что они используются для выхода в интернет.

Так как у вас пересекаются диапазоны ip адресов, то по почти уверен что возвращающиеся из этих сетей пакеты маршрутизируются в сегмент Home a не в VPN

Делайте для VPN адреса из другой подсети.

[support@cyber.com.ru]

Для VPN-подключений маска всегда /32, пересечений с Home нет. Впрочем я пробовал в настройках VPN использовать пул из новой подсети, было так же.