Подключение к VPN изнутри сети

[ВладимирП]

Добрый день.

Подскажите пожалуйста, на Keenetic 4G (KN-1213) EAEU, Версия ОС 4.2.1 настроен VPN сервер IKEv2 с доступом в локалку.

Также настроен WIFI (можно сказать гостевой - без доступа в локальную сеть и пересечения подсетей IP)

Не удается подключиться к VPN из сети WIFI - соединение не устанавливается. 

[mrGhotius]

4 часа назад, ВладимирП сказал:

Не удается подключиться к VPN из сети WIFI - соединение не устанавливается. 

Включите.

[ВладимирП]

15 часов назад, mrGhotius сказал:

Включите.

Такого пункта у моей DMZ нет

[mrGhotius]

11 минут назад, ВладимирП сказал:

Такого пункта у моей DMZ нет

Верно, у native vlan нет этого пункта т.к. он не требуется. А из вашего сообщения:

20 часов назад, ВладимирП сказал:

Также настроен WIFI (можно сказать гостевой - без доступа в локальную сеть и пересечения подсетей IP)

Я понял, что вы создали отдельный сегмент(vlan) под WiFi. 

Так что, мой ответ был исходя из ваших вводных.

[ВладимирП]

1 час назад, mrGhotius сказал:

Верно, у native vlan нет этого пункта т.к. он не требуется. А из вашего сообщения:

Я понял, что вы создали отдельный сегмент(vlan) под WiFi. 

Так что, мой ответ был исходя из ваших вводных.

Подскажите пожалуйста как правильно настроить? Я просто хотел развести WIFI и офисную сеть по разным сетям, в то же время иметь доступ через WIFI добраться до офисного VPN (лучше конечно напрямую - без петель через провайдера)

[localdomain1]

10 minutes ago, ВладимирП said:

Подскажите пожалуйста как правильно настроить? Я просто хотел развести WIFI и офисную сеть по разным сетям, в то же время иметь доступ через WIFI добраться до офисного VPN (лучше конечно напрямую - без петель через провайдера)

если я правильно понял вопрос, то пару раз решал это через My Networks and Wi-Fi - там сети какие надо и далее в Connection Policies для каждой сети делаются правила, потом уже в сетях надо добавить правила которые были созданы + поставить галочку в Access the applications running on your Keenetic device

Изменено 3 марта пользователем localdomain1

[ВладимирП]

Сделал сегмент с доступом только в интернет. Также включил галку доступа к приложениям. Ошибка та же: "Не удалось установить связь по сети с VPN-сервером, так как удаленный сервер не отвечает..."

Изменено 3 марта пользователем ВладимирП

[ВладимирП]

09[IKE] 192.168.2.22 is initiating an IKE_SA

...

07[JOB] deleting half open IKE_SA with 192.168.2.22 after timeout

--------------------------

отключает по таймауту...

[Leshiyart]

Пытался понять, но не осилил что пытается изобразить автор.
Может стоит с самого начала объяснить т.з. более развёрнуто.
каким боком тут впн сервер внутри локалки

[mrGhotius]

1 минуту назад, Leshiyart сказал:

Пытался понять, но не осилил что пытается изобразить автор.
Может стоит с самого начала объяснить т.з. более развёрнуто.
каким боком тут впн сервер внутри локалки

Как я понял, автор хочет подключаться к серверу не по белому IP/доменному имени, а из локальной сети этого же роутера, где настроен сервер.

[Leshiyart]

7 минут назад, mrGhotius сказал:

Как я понял, автор хочет подключаться к серверу не по белому IP/доменному имени, а из локальной сети этого же роутера, где настроен сервер.

вот это больше всего и вызывает вопросов зачем и почему так.
так же неплохо бы было услышать кто клиент и что за настройки указываются у него в подключении

[ВладимирП]

Добрый день, коллеги.

В офисе развернута AD и пользователи авторизуются локально. Удаленные пользователи подключаются по VPN IKEV2 к сети и авторизуются на контроллере через VPN. Но иногда удаленные пользователи приходят в офис и хотят поработать подключаясь по WIFI. Так как их ноутбуки не введены в домен, предполагал их пускать по отработанной схеме - через VPN, но подключение не устанавливается с ошибкой.

Сети WIFI и LAN не пересекаются. 

[Leshiyart]

может быть тогда их все таки добавить локально?
на клиентах уже настроенных в впн что-то менете дополнительно?
во что у вас резольвится адрес keendns с такого клиента

[ВладимирП]

5 минут назад, Leshiyart сказал:

может быть тогда их все таки добавить локально?
на клиентах уже настроенных в впн что-то менете дополнительно?
во что у вас резольвится адрес keendns с такого клиента

резолвится в правильный внешний IP

[Leshiyart]

1 минуту назад, ВладимирП сказал:

резолвится в правильный внешний IP

а должно в 78.47.125.180, про клиентов вопрос так и не получил. меняете ли что то им в настройках или оставляете как и был киндс имя?

[ВладимирП]

3 минуты назад, Leshiyart сказал:

а должно в 78.47.125.180

даже если включен прямой доступ?

3 минуты назад, Leshiyart сказал:

про клиентов вопрос так и не получил. меняете ли что то им в настройках или оставляете как и был киндс имя?

Клиентам дается доменный ДНС в настройках VPN

 

 

[mrGhotius]

8 часов назад, ВладимирП сказал:

В офисе развернута AD и пользователи авторизуются локально. Удаленные пользователи подключаются по VPN IKEV2 к сети и авторизуются на контроллере через VPN. Но иногда удаленные пользователи приходят в офис и хотят поработать подключаясь по WIFI. Так как их ноутбуки не введены в домен, предполагал их пускать по отработанной схеме - через VPN, но подключение не устанавливается с ошибкой.

Хм...так зачем тогда усложнять схему? Включите ТД WiFi в сегменте "Офис" пусть авторизуются на контроллере локально. А для "просто интернета" оставьте ваш сегмент "DMZ". 

Изменено 3 марта пользователем mrGhotius

[ВладимирП]

11 часов назад, mrGhotius сказал:

Хм...так зачем тогда усложнять схему? Включите ТД WiFi в сегменте "Офис" пусть авторизуются на контроллере локально. А для "просто интернета" оставьте ваш сегмент "DMZ". 

Да, возможно так и придется сделать. Хотел максимально безопасно сделать - WIFI все-таки вещает и наружу тоже. А ограничение по МАК адресам - это как детский лепет и скрытие ТД тоже - только от прохожих.