Соеденить два роутера через интернет через третью сторону

[NSGrid]

Небольшая предыстория. Имеются две квартиры. В Москве (провайдер Лантек - https://lantek.ru) и Санкт-Петербурге (провайдер Airnet - https://airnet.ru). В каждой из них стоит оборудование (роутеры Кинетик). У провайдеров подключены услуги внешних статических IP. Два роутера объединены через VPN - IPsec сеть-сеть - встроенная функция у роутеров Кинетик.

Таким образом имеем:
Москва: 192.168.0.0 сеть, внешний IP провайдер Лантек - lantek.ru
Питер 172.16.0.0 сеть, внешний IP провайдер Airnet - airnet.ru

Через IPsec эти две локалки объединены через интернет. Причем сервером выступает Москва, к ней подключается Питер.

Вроде бы все обычно. Когда канал поднят, все нормально, трафик ходит, есть доступ к ресурсам обеих локалок и все такое.

Так они прекрасно работали пару лет, но вот примерно с 2024 года и на сегодняшний день было зафиксировано вот уже как минимум 4 случая, когда канал отваливается на несколько дней. Из-за чего мне приходится интенсивно начинать написывать в техподдержки обоих провайдеров (Лантек и Айрнет), прикладывая трассировки. Причем ситуация такая удивительная, что связность нарушается именно между этими двумя провайдерами. Например, с провайдера Лантек нельзя открыть даже сайт провайдера Айрнет, а не только постучаться к оборудованию в питерской квартире через питерский внешний IP. То есть, если например постучаться с других провайдеров, то работает и с Лантеком, и с Айрнетом. Таким образом, блокировка осуществляется между всеми пулами IP обоих провайдеров.

Выяснение с техподдержками выявляло проблему на узле обмена трафиком https://piter-ix.ru и канал через некоторое время чинился, но это не дает никакой гарантии, что он снова отвалится.

Возник такой вопрос. У меня есть еще возможность подключиться к третей стороне провайдера Ростелеком - еще одна квартира и там тоже стоит роутер Кинетик и имеется внешний IP.

Вопрос такой. Можно ли соединить два этих роутера через третий? При этом, я знаю, что в базе знаний есть инструкция как это сделать через Wireguard, но мне по ряду причин этот вариант не очень нравится, я хочу их соединить через IPsec. Возможно ли это? То есть, чтобы, если канал между двумя конкретными провайдерами (Лантек и Айрнет) не работает, то соедеить их через третью сторону.

Edited October 10, 2025 by NSGrid

[Le ecureuil]

Добрый день, да, уже несколько лет как можно.

Начиная с версии 4.1 поддерживаются несколько подсетей во вторых фазах в IKEv2, потому вы можете в краевых узлах указать по 2 подсети - центрального узла и хаба.

[bzzztomas77]

я для решения подобной задачи запустил bird2 с ospf из entware - работает.

 

[NSGrid]

1 час назад, Le ecureuil сказал:

Начиная с версии 4.1 поддерживаются несколько подсетей во вторых фазах в IKEv2, потому вы можете в краевых узлах указать по 2 подсети - центрального узла и хаба.

ОК, у меня тоже было предположение, что это возможно. Но помогите с настройками, так как пока что-то не получается.

Еще раз для понимания. Условные обозначения.

Роутер 1. Лантек (Москва) сеть 192.168.0.0 сервер, имеется внешний статический IP

Роутер 2. Airnet (Питер) сеть 172.16.0.0 клиент, имеется внешний статический IP

Роутер 3. Ростелеком (Москва) сеть 192.168.2.0, имеется внешний статический IP

В нормальном режиме Роутер 1 и Роутер 2 соединены напрямую через канал Ipsec сеть-сеть. Причем, Роутер 1 ждет подключения. Роутер 2 к нему подключается.

Из какого-то глюка маршрутизации Роутер 1 не может соединиться с Роутером 2 и наоборот. Но Роутер 3 может соединяться с Роутером 1 и Роутером 2 и наоборот.

Я уже тестировал. На Роутере 3 заводилось соединение Ipsec сеть-сеть из раздела "другие подключения". Роутер 3 ждал подключения. Роутеры 1 и 2 к нему подключались, причем одновременно, у них соединения тоже, соответственно, создавались в этом же разделе, в качестве домена подключения прописывался внешний IP Роутера 3. Подключения успешно устанавливались. Но с Роутера 1  не пинговалась сеть на Роутере 2 и наоборот. Привожу скриншоты фазы 2 трех роутеров. Пожалуйста посмотрите, правильно ли прописаны сети?

Роутер 3

 

Роутер 1

 

Роутер 2

При такой схеме подключения Роутер 1 и Роутер 2 пингуют устройства в сети Роутера 3 (к которой оба подключаются). Но между собой пинги не проходят. Что я делаю не так?

Edited October 10, 2025 by NSGrid

[NSGrid]

38 минут назад, bzzztomas77 сказал:

я для решения подобной задачи запустил bird2 с ospf из entware - работает.

 

А можете подробнее? Есть какая-то инструкция по настройке? и чем это лучше встроенных средств? У вас тоже не устанавливается туннель между двумя конкретными провайдерами?

 

Edited October 10, 2025 by NSGrid

[bzzztomas77]

47 minutes ago, NSGrid said:

А можете подробнее? Есть какая-то инструкция по настройке? и чем это лучше встроенных средств? У вас тоже не устанавливается туннель между двумя конкретными провайдерами?

 

я не видел встроенных средств для динамической маршрутизации. у меня несколько точек и только два белых IP, прямые маршруты невозможны в некоторых случаях, иногда туннели падают (wg, например) - все они продублированы через pptp. один раз настроил bird и оно самое там перестраивается.. 

 

настройка bird примитивная (наверное не оптимальная, но пока других проблем хватает):

log syslog { info };
router id 192.168.1.1;
ipv4 table master4;
protocol device {
};
protocol kernel {
        ipv4 {
                import all;
                export all;
        };
        persist;
}
protocol ospf {
	ipv4 {
		export all;
		import all;
	};
	area 0 {
		interface "vpn0" {
			cost 20;
			type ptp;
		};
		interface "nwg*" {
			cost 10;
			type ptp;
		};
		interface "br0" {
			cost 1;
		};
	};
};

 

[NSGrid]

15 минут назад, bzzztomas77 сказал:

я не видел встроенных средств для динамической маршрутизации. у меня несколько точек и только два белых IP, прямые маршруты невозможны в некоторых случаях, иногда туннели падают (wg, например) - все они продублированы через pptp. один раз настроил bird и оно самое там перестраивается.. 

 

настройка bird примитивная (наверное не оптимальная, но пока других проблем хватает):

Я верно понимаю, что у вас все идет через один роутер, на котором собственно этот пакет установлен? А другие узлы к нему подключаются? А в качестве VPN протокола вы используете Wireguard и PPTP?

[bzzztomas77]

4 hours ago, NSGrid said:

Я верно понимаю, что у вас все идет через один роутер, на котором собственно этот пакет установлен? А другие узлы к нему подключаются? А в качестве VPN протокола вы используете Wireguard и PPTP?

нет, на каждом роутере стоит bird и они друг с другом договариваются о маршрутизации.

да, для тоннелей использую wireguard и pptp.

[Le ecureuil]

Сейчас проверил конфигурацию hub-and-spoke, и все работает хорошо.

Для теста сделал hub с адресом 192.168.6.26 и локалкой 192.168.5.0/24, а также два spoke-клиента: 192.168.6.26 с подсетью 192.168.25.0/24 и 192.168.6.33 с подсетью 192.168.26.0/24. При этом транзит через hub работает отлично, сеть 25.0/24 отвечает на 6.33, а сеть 26.0/24 отвечает на 6.27.

Настройка на клиентах-инициаторах:

Настройки на hub для каждого из пиров:

 

[NSGrid]

5 часов назад, Le ecureuil сказал:

Сейчас проверил конфигурацию hub-and-spoke, и все работает хорошо.

Спасибо! Получилось. Честно говоря, на сайте вообще нет инструкции как соединять более двух сетей таким методом (IPsec сеть-сеть) у меня даже ранее (пока вы здесь не ответили) получилось настроить по этой инструкции, где говорится о соединении более двух сетей через PPTP, и там же приводится аналогия настройки через L2TP - через нее я и настроил, так как PPTP - все-таки какой-то уж совсем устаревший тип VPN, но все же хотелось еще более соврменный протокол использовать, а именно IPsec сеть-сеть, где можно выбрать IKEv2. И потому, что касается этого метода, я вот совсем не знал, что надо, получается, на сервере (то есть роутере-хабе), в моих условных обозначениях - это Роутер 3 (Ростелеком), создавать два ожидающих соединения специально для Роутера 1 (клиент Лантек) и Роутера 2 (клиент Airnet). И, соответственно, они затем подключаются каждый к своему соединению. Напомню, что просто когда я тестировал (и у меня не получилось), я тогда создал только одно ожидающее соединение на хабе (Роутере 3), но Роутер 1 и Роутер 2 к нему все же успешно подключались, причем одновременно, но устройства в локалках Роутеров 1 и 2 друг друга не видели.

Привожу мои настройки:

Напомню легенду.

Роутер 1. Лантек (Москва) сеть 192.168.0.0 сервер, имеется внешний статический IP

Роутер 2. Airnet (Питер) сеть 172.16.0.0 клиент, имеется внешний статический IP

Роутер 3. Ростелеком (Москва) сеть 192.168.2.0, имеется внешний статический IP

Примечание. Роутер 1 и 2 напрямую соединиться не могут из-за проблем с маршрутизацией двух провайдеров Лантек и Айрнет. В обе техподдержки этих провайдеров написываю, но пока толку нет.

 

Router 3 server lantek

 

Router 3 server airnet

 

Router 1 client lantek

 

Router 2 client airnet

При такой конфигурации все работает.

Edited October 11, 2025 by NSGrid