l2tp/ipsec L2TP/IPSec маршрутизация трех сетей

[Vladislav Kravchenko]

Друзья, поможите непонимающему как настроить маршрутизацию при соединении трех сетей.

Есть Giga II с белым IP и внутренней сетью 192.168.0.0 (2.13.C.0.0-0)

Есть Ultra с серым IP и внутренней сетью 192.168.1.0 (2.13.C.0.0-0)

Есть Extra II с серым IP и внутренней сетью 192.168.2.0 (последняя прошивка, скорее всего тоже 2.13.C.0.0-0)

Ultra и Extra подключены к Giga через L2TP/IPSec. С Ultra (на Giga 172.16.2.34)  и Extra (на Giga 172.16.2.33) я могу заходить в сеть 192.168.0.0.

 

Все, что до работает норм. А вот дальше непонятно:

С Giga я могу пинговать Extra, но не могу пинговать Ultra.

С Giga я не вижу сетей 192.168.1.0 и 192.168.2.0.

C Ultra я не вижу 192.168.2.0 сеть и не могу пинговать Extra.

 

Межсетвые экраны на всех отключены.

Нутром чую, что надо настроить какой-то маршрут, но не соображу где и куда.

 

PS. Еще на Giga есть Ipv6 полученный 6to4, можно ли как-то сделать его RA для сетей за Ultra и Extra чтобы устройства в них получали тоже внешние IPv6 адреса?

 

[Валера]

Построй сеть треугольником и будешь везде заходить без проблем.

Просто нужно добавить туннель с Ultra на Extra.

С Giga я могу пинговать Extra, но не могу пинговать Ultra. Проверь в интернет - проводной , настойку Проверка доступности Интернета (Ping Check). Добавь правило межсетевого экрана на Ultra.

С Giga я не вижу сетей 192.168.1.0 и 192.168.2.0.  Если не видишь сетей значит не до конца настроил туннели и/или межсетевые экраны.

C Ultra я не вижу 192.168.2.0 сеть и не могу пинговать Extra  - Это нормально между ними нет туннеля, а пинговать через сеть не получится.

Попробуй на одном из серых адресов получить статический адрес ( некоторые провайдеры делают это без денег, нужно только включить в личном кабинете).

Изменено 2 октября, 2018 пользователем Валера

[Vladislav Kravchenko]

9 часов назад, Валера сказал:

Построй сеть треугольником и будешь везде заходить без проблем.

Просто нужно добавить туннель с Ultra на Extra.

С Giga я могу пинговать Extra, но не могу пинговать Ultra. Проверь в интернет - проводной , настойку Проверка доступности Интернета (Ping Check). Добавь правило межсетевого экрана на Ultra.

С Giga я не вижу сетей 192.168.1.0 и 192.168.2.0.  Если не видишь сетей значит не до конца настроил туннели и/или межсетевые экраны.

C Ultra я не вижу 192.168.2.0 сеть и не могу пинговать Extra  - Это нормально между ними нет туннеля, а пинговать через сеть не получится.

Попробуй на одном из серых адресов получить статический адрес ( некоторые провайдеры делают это без денег, нужно только включить в личном кабинете).

Треугольником? Это какое-то новшество вообще. С красивыми сетевыми штормами из-за лупов 

Добавить туннель с Ultra на Extra можно только через уже созданный туннель, т.к. на Ultra и на Extra гарантировано серые IP.

"C Ultra я не вижу 192.168.2.0 сеть и не могу пинговать Extra  - Это нормально между ними нет туннеля, а пинговать через сеть не получится." - пакеты должны убегать на Giga, а оттуда маршрутизироваться на Ultra. 

[Валера]

В 03.10.2018 в 08:56, Vladislav Kravchenko сказал:

на Ultra и на Extra гарантировано серые IP.

Кто мешает воспользоваться DDNS сервисом - бесплатных полно.

В 03.10.2018 в 08:56, Vladislav Kravchenko сказал:

пакеты должны убегать на Giga, а оттуда маршрутизироваться на Ultra. 

Должны только не убегают.

По поводу треугольника ирония напрасна. Все прекрасно бегает и головняка при настойке - минимум.

Если бы у меня не работало, я бы совета не давал. Посмотри у меня под аватаркой перечислены все кинетики которые сейчас работают именно треугольником. По 2 VPN c каждого, плюс удаленный доступ к любому устройству в сети.

 

[Валера]

Цитата

Внимание! Для корректной работы маршрутизации через туннель на сервере нужно прописать маршрут, который указывает, что сеть 192.168.1.0/24 находится за IP-адресом 192.168.11.2.

Это цитата из документации Кинетика примени ее к своим адресам.

[Vladislav Kravchenko]

В 05.10.2018 в 12:43, Валера сказал:

Это цитата из документации Кинетика примени ее к своим адресам.

А в какой именно документации это прописано? Найти не смог. Более того, Extra мне не дает сделать маршрутизацию на адрес из другой сети. Т.е. у меня нет доступа из сети Extra к любому компьютеру в сети Giga, хотя на Giga из сети Extra я могу зайти (такой маршрут создается автоматически при подключении по VPN), а вот доп маршрут я добавить не могу через интерфейс.

[Vladislav Kravchenko]

В 05.10.2018 в 12:25, Валера сказал:

Кто мешает воспользоваться DDNS сервисом - бесплатных полно.

 

Проблема должна решать маршрутизацией. DDNS при сером адресе не поможет, к нему не подключишься через многочисленные NAT-провайдеров.

[Валера]

Смотрите у меня прекрасно работает такой вариант ( правда я использую VPN IPSec ) , и обращаюсь к ним по их реальным адресам в подсети, а не по виртуальным как пытаетесь сделать вы.

Там где статический адрес настраивайте сервер, где динамика - клиент. должно все работать.

 

Документация

Вот ваш вариант ( исправьте если где не верно)

 

Изменено 8 октября, 2018 пользователем Валера

[Vladislav Kravchenko]

Подождите, у вас же должно работать все с двумя туннелями, если у вас маршрутизация настроена.

Т.е. 192.168.2.0/24 -> 192.168.2.1 на 192.168.1.1 и 192.168.3.1 остаются туннели 1 и 3, соответственно и обратный маршрут 192.168.1.0/24 -> 192.168.1.1 и т.п.

[Валера]

Я делал, чтоб не нагружать каналы.

Туннель 2 и 3 используются для записи с камер наблюдения на USB NAS.

Туннель 1 нужен для работы базы данных. Если камеры пробросить через него база тормозит, а так все чудненько работает .

Туннель 1 и 2 ADSL линия, ее сильно не нагрузишь, особенно на отдачу.

 

Документация

Изменено 8 октября, 2018 пользователем Валера

[Vladislav Kravchenko]

6 часов назад, Валера сказал:

Вот ваш вариант ( исправьте если где не верно)

Да, верный план.

[Vladislav Kravchenko]

В 08.10.2018 в 19:14, Vladislav Kravchenko сказал:

Да, верный план.

В общем. В через интерфейс никак не дает добавить нужный маршрут. Постоянно пишет, что адрес шлюза не в диапазоне нужной сети.

На Extra уже прописан статический маршрут к Giga (я могу с любого устройства за Extra зайти на Giga):

192.168.0.1/32 0.0.0.0 toGiga

где 192.168.0.1 это адрес Giga в егойной сети, 0.0.0.0 адрес шлюза в сети Extra и toGiga это интерфейс VPN.

 

Как я понимаю, для того, чтобы попадать из сети Extra в сеть Giga мне нужно прописать примерно следующее:

192.168.0.0.24 0.0.0.0 toGiga

или же 

192.168.0.0/24 192.168.0.1 toGiga

 

PS. Собственно решил проблему прописав на Extra следующий маршрут:

192.168.0.0/24 192.168.0.1 toGiga

Интерфейс его пропустил и теперь могу ходить из сети за Extra в сеть Giga

PSS. Осталось теперь прописать на Giga маршруты к сетям на Extra и Ultra

 

Изменено 11 октября, 2018 пользователем Vladislav Kravchenko

[Vladislav Kravchenko]

В 10.10.2018 в 20:14, Vladislav Kravchenko сказал:

 

Интерфейс его пропустил и теперь могу ходить из сети за Extra в сеть Giga

Итак, проблему соединения трех сетей через два VPN-соединения решил. Пошаговая инсрукция:

 

1. На Giga 192.168.0.1 на сервере VPN настроил адреса для клиентов из сети Giga (там у меня запас оставался). 

2. Ultra получила адрес 192.168.0.230, Extra получила адрес 192.168.0.231.

3. На Ultra добавляю следующую маршрутизацию (в интерфейсе надо ставить флажок "Авто" иначе оно не дает сохранить правило, редиска) 192.168.0.0/24 -> 192.168.0.1 так мы получаем доступ к сети за Giga. Добавляю второй маршрут 192.168.2.0/24 -> 192.168.0.231 так мы получаем доступ с Ultra в сеть за Extra.

4. На Extra добавляю все в обратном порядке: 192.168.0.0/24 -> 192.168.0.1 (получаем доступ к сети за Giga) и 192.168.1.0/24 -> 192.168.0.230 (доступ в сеть за Ultra).

5. На самом Giga настраиваем маршруты 192.168.1.0/24 -> 192.168.0.230 (даем доступ к сети за Ultra) и 192.168.2.0/24 -> 192.168.0.231 (даем доступ к сети за Extra).

Единственная проблема - я что-то не понял, как адреса 230 и 231 выдаются VPN-ом. Если при переключении они поменяются местами, то таблица маршрутизации собъется и придется все выставлять руками. Так же странно, но не нашел Interface для VPN через Cli. Хотя ожидал его там увидеть.

Соответственно одна из задач решена - сети соединены. Ходят все туда и обратно всего по двум VPN-соединениям. Осталось решить следующие  две задачи:

А. Ограничить доступ из сети за Extra к сетям за Giga и за Ultra только для всех, кроме одного IP-адреса. Пока не пойму на каком роутере сие делать.

Б. Сделать RA IPv6 с Giga на сети за Ultra и Extra.

Изменено 13 октября, 2018 пользователем Vladislav Kravchenko

[Валера]

В 13.10.2018 в 17:54, Vladislav Kravchenko сказал:

 

Единственная проблема - я что-то не понял, как адреса 230 и 231 выдаются VPN-ом. Если при переключении они поменяются местами, то таблица маршрутизации собъется и придется все выставлять руками.

Поставь галочку Постоянный IP адрес.

И настраивать маршрутизацию надо было не по адресам VPN, а по их реальным адресам, шлюз - адрес роутера.

В 13.10.2018 в 17:54, Vladislav Kravchenko сказал:

 

А. Ограничить доступ из сети за Extra к сетям за Giga и за Ultra только для всех, кроме одного IP-адреса. Пока не пойму на каком роутере сие делать.

Это настраивается межсетевым экраном. Такому-то адресу разрешаем туда или обратно.

Изменено 14 октября, 2018 пользователем Валера

[Vladislav Kravchenko]

11 час назад, Валера сказал:

Поставь галочку Постоянный IP адрес.

В том-то и дело, что там нет такой галочки VPN-сервер выдает их по своему разумению.

 

11 час назад, Валера сказал:

И настраивать маршрутизацию надо было не по адресам VPN, а по их реальным адресам, шлюз - адрес роутера.

В этом и была згвоздка. Giga не маршрутизирует в реальный адрес роутера за VPN.

 

11 час назад, Валера сказал:

Это настраивается межсетевым экраном. Такому-то адресу разрешаем туда или обратно.

Вопрос на каком роутере. На Giga (где VPN-сервер) или на Extra (клиенте). Не пускать хочется лишних с Extra в сеть Giga и Ultra.

[r13]

1 минуту назад, Vladislav Kravchenko сказал:

В том-то и дело, что там нет такой галочки VPN-сервер выдает их по своему разумению.

 

снимите галку у сервера множественный вход, и все появится. 

[Vladislav Kravchenko]

6 минут назад, r13 сказал:

снимите галку у сервера множественный вход, и все появится.

Галочка отжата. Но нигде ввести статический адрес нельзя.

[r13]

37 минут назад, Vladislav Kravchenko сказал:

Галочка отжата. Но нигде ввести статический адрес нельзя.

то есть с отжатой галкой у вас не так настройка пользователя выглядит?

[Vladislav Kravchenko]

46 минут назад, r13 сказал:

то есть с отжатой галкой у вас не так настройка пользователя выглядит?

Вот я баран - не увидел. Теперь прописал

[Валера]

В 15.10.2018 в 08:54, Vladislav Kravchenko сказал:

Не пускать хочется лишних с Extra в сеть Giga и Ultra.

По вашей схеме правила нужно создать на Giga, я бы и на Ultra для надежности прописал каким адресам нельзя и куда.

Изменено 17 октября, 2018 пользователем Валера