На клиенте, подключенном к впн-серверу на кинетике, нет доступа к сетевым ресурсам провайдера

[Werld]

Здравствуйте. Очень прошу помочь разобраться. Есть Keenetic extra (kn1710) подключен к провайдеру через pppoe. Также на ван порт прилетает приватный айпишник для доступа к локальным сетевым ресурсам провайдера. Все маршруты приходят автоматически от провайдера. Находясь в домашней сети роутера все прекрасно работает, есть доступ и в интернет и к нужному ресурсу в сети провайдера. На keenetic'е поднят ppptp vpn-сервер. Подключаясь извне к впн-серверу, я получаю доступ в интернет, но не получаю доступа к нужному ресурсу в сети провайдера. Еще раз обращаю внимание, находясь непосредственно в домашней сети роутера все прекрасно ходит куда надо, все необходимые маршруты появляются динамически. Самое интересное, что до приобретения Экстры стоял Zyxell keenetic lite III rev.A. На нем все было также настроено и при этом все работало: подключаясь к впн-серверу lite'а я получал доступ и в интернет и к нужному ресурсу в локальной сети провайдера. 

[Le ecureuil]

19 часов назад, werldmgn сказал:

Здравствуйте. Очень прошу помочь разобраться. Есть Keenetic extra (kn1710) подключен к провайдеру через pppoe. Также на ван порт прилетает приватный айпишник для доступа к локальным сетевым ресурсам провайдера. Все маршруты приходят автоматически от провайдера. Находясь в домашней сети роутера все прекрасно работает, есть доступ и в интернет и к нужному ресурсу в сети провайдера. На keenetic'е поднят ppptp vpn-сервер. Подключаясь извне к впн-серверу, я получаю доступ в интернет, но не получаю доступа к нужному ресурсу в сети провайдера. Еще раз обращаю внимание, находясь непосредственно в домашней сети роутера все прекрасно ходит куда надо, все необходимые маршруты появляются динамически. Самое интересное, что до приобретения Экстры стоял Zyxell keenetic lite III rev.A. На нем все было также настроено и при этом все работало: подключаясь к впн-серверу lite'а я получал доступ и в интернет и к нужному ресурсу в локальной сети провайдера. 

А галка "использовать NAT" у вас стоит в настройках VPN-сервера?

[Werld]

Да, конечно. Иначе бы интернета не было на подключенном к впн-серверу клиенте. Я же написал: Подключаясь извне к впн-серверу, я получаю доступ в интернет, но не получаю доступа к нужному ресурсу в сети провайдера. Еще раз обращаю внимание, что на предыдущем роутере Zyxell keenetic lite rev.a при таких же настройках все работало. Правда там версия по постарше, а именно ndms 2.08, в то время как на новой Экстре 2.13.C.0.0-3

Изменено 23 октября, 2018 пользователем werldmgn

[Le ecureuil]

42 минуты назад, werldmgn сказал:

Да, конечно. Иначе бы интернета не было на подключенном к впн-серверу клиенте. Я же написал: Подключаясь извне к впн-серверу, я получаю доступ в интернет, но не получаю доступа к нужному ресурсу в сети провайдера. Еще раз обращаю внимание, что на предыдущем роутере Zyxell keenetic lite rev.a при таких же настройках все работало. Правда там версия по постарше, а именно ndms 2.08, в то время как на новой Экстре 2.13.C.0.0-3

Тогда обратитесь в официальную техподдержку, будем смотреть.

[Werld]

Последовал вашему совету, отправил запрос через help.keenetic.com

Изменено 23 октября, 2018 пользователем werldmgn

[Werld]

В общем пока техподдержка неторопливо рассматривает мой запрос, решил ради интереса настроить l2tp/ipsec сервер. И... с таким типом впн сервера все прекрасно работает. Клиент подключающийся к kn1710 получает доступ и в интернет и к, необходимому мне, ресурсу в локальной сети провайдера. Все как было и на Keenetic lite 3 rev.a c ppptp сервером на прошивке 2.08 Настройки l2tp сделал идентично настройкам ppptp сервера. Так что вынужден констатировать, что проблема  есть какая-то именно с ppptp впн-сервером в новой прошивке...

[Werld]

Здравствуйте. Описанная мной в этой теме проблема появилась теперь и при использовании l2tp/ipsec. Напомню, проблема для pptp сервера так и не была решена, ответом техподдержки стала рекомендация использовать l2tp раз на нем работает. Теперь перестало работать и c l2tp... Версия ос сейчас 3.1.6. На версиях 2.хх работало на l2tp. На версии 3.1 не проверял. KN-1710. Нужно ли приложить селф-тест или какие еще сведения нужны, чтобы разработчики обратили внимание на проблему? Сложилось впечатление, что в прошлый раз техподдержка вроде воспроизвела у себя эту проблему, но воз и ныне там.

Изменено 3 октября, 2019 пользователем werldmgn

[Werld]

По словам техподдержки, суть проблемы, если коротко, в том, что для клиентов впн сервера роутера маршрут, который должен идти через дополнительное (резервное соединение) отрабатывает только в том случае, если на этом соединении есть признак ip global, то есть соединение используется для выхода в интернет. В противном случае соединение отсутствует в основном профиле доступа и маршрут не отрабатывает.

 

 

[Кинетиковод]

В 03.10.2019 в 09:50, werldmgn сказал:

отрабатывает только в том случае, если на этом соединении есть признак ip global

Раз так, то задайте ip global на интерфейсе руками через CLI. 

[Werld]

А установка этого признака не приведет к тому, что маршрутом по умолчанию станет маршрут через это дополнительное соединение и вес трафик пойдет туда? Кроме того, ведь работало же все на предыдущих версиях ос, может все-таки обратят внимание и исправят.

[Кинетиковод]

1 минуту назад, werldmgn сказал:

А установка этого признака не приведет к тому, что маршрутом по умолчанию станет маршрут через это дополнительное соединение и вес трафик пойдет туда?

Задайте приоритет ниже PPPoE. На старых прошивках была другая схема. Сейчас она действует в случае использования протоколов из "Другие подключения", но PPPoE там теперь нет, поэтому ip global задавайте руками.

[Werld]

Под старыми я имел в виду 2.15 на которой работало хотя бы для клиентов l2tp/ipsec впн-сервера. На версии 3.1.6 не работает ни для кого. Я не ищу промежуточных решений, я могу потерпеть, лишь бы взялись за исправление.

[Werld]

Если кому-то будет полезно, то установка признака ip global на нужный интерфейс помогла, маршруты к сетям за этим интерфейсом стали отрабатывать нормально для впн-клиентов. НО еще раз хочу акцентировать внимание, до версии ОС 3.х.х маршруты прекрасно отрабатывали для впн клиентов l2tp/ipsec-сервера. До этого в версиях со старым интерфейсом все отрабатывало и для клиентов pptp-сервера. Считаю, что это баг и его нужно исправлять.