Доступ к компам в локальной сети через VPN - не работает

[Евгений Аношин]

Здравствуйте. 

Есть проблема, которую я не понимаю.

Имеется Ultra с прошивкой 2.14.C.0.0-4. Работает VPN сервер для подключения к локальной сети. В локальной сети есть компьютер, которому обрезан доступ в интернет. В результате клиент VPN не может достучаться до этого компьютера (конкретно, не проходит ping, не подключается по rdp). Как только разрешаем проблемному компу доступ в интернет, сразу клиент VPN начинает его видеть. Гостевых сетей нет, клиент VPN получает ip-адрес из той-же подсети, что и проблемный компьютер.

Куда смотреть и что можно подкрутить.

[Deshunin Sergey]

5 часов назад, Евгений Аношин сказал:

В локальной сети есть компьютер, которому обрезан доступ в интернет. В результате клиент VPN не может достучаться до этого компьютера (конкретно, не проходит ping, не подключается по rdp). Как только разрешаем проблемному компу доступ в интернет, сразу клиент VPN начинает его видеть.

Вы издеваетесь? Вы настроили ЗАПРЕТ и хотите иметь доступ? Для Интернета этого ПК не существует, он изолирован от него в обе стороны.
Если я вас понимаю правильно вы хотите впихнуть не впихуемое. 

[Кинетиковод]

6 часов назад, Евгений Аношин сказал:

Куда смотреть и что можно подкрутить.

Вашу проблему решит openvpn tap.

[ajs]

1 час назад, Fandor сказал:

Для Интернета этого ПК не существует, он изолирован от него в обе стороны.

Но VPN не совсем Интернет

[Deshunin Sergey]

13 минуты назад, ajs сказал:

Но VPN не совсем Интернет

И что это меняет? 

[ajs]

По идее правила для интернета и vpn разные

--
WBR, ajs

[KorDen]

7 часов назад, Евгений Аношин сказал:

VPN получает ip-адрес из той-же подсети, что и проблемный компьютер.

Вот такое вот очень нежелательно делать в любом случае, затрудняет разбор проблем и могут быть произвольные глюки

 

[metahor]

Разрешайте доступ из конкретной сети. В Межсетевом экране

Изменено 22 февраля, 2019 пользователем metahor

[Евгений Аношин]

9 hours ago, Fandor said:

Для Интернета этого ПК не существует, он изолирован от него в обе стороны.
Если я вас понимаю правильно вы хотите впихнуть не впихуемое. 

Нет, Вы понимаете не правильно. Взаимодействие происходит в локальной сети, т.к. с того момента, как клиент VPN получает адрес из пула, принадлежащего локальной сети, он должен являться полноправным членом данной сети. Изолированный от интернета ПК в тоже самое время никоим образом (по крайней мере, явно) не изолирован от всех устройств локальной сети, в том числе и от клиентов VPN. В данном же случае прослеживается, имхо, неявная изоляция части устройств. Я такую логику могу понять, но только если она где-то декларирована. Но пока что не нашёл этому подтверждения и по этому считаю, что данное поведение маршрутизатора не правильно. 

Если Вы считаете иначе, пожалуйста, аргументируйте свою точку зрения поподробней.

7 hours ago, KorDen said:

Вот такое вот очень нежелательно делать в любом случае, затрудняет разбор проблем и могут быть произвольные глюки

Возможно, в данном случае так и произошло. Но, с моей точки зрения, выделение клиентов VPN в отдельную сеть является следующим этапом паранойи и требует уже создания DMZ с выносом туда всех требуемых ресурсов из локальной сети. В принципе это хорошее решение, но более трудоёмкое. В данном конкретном случае моя лень пока что побеждает паранойю и говорит, что без этого можно было бы и обойтись. Если не удастся найти причины текущего поведения маршрутизатора, возможно, пойду по этому пути.

На всякий случай (вдруг мы с Вами друг друга не допоняли) поясню - пулы адресов клиентов VPN и устройств локальной сети не пересекаются, а просто принадлежат одной сети. Грубый пример: все устройства локальной сети имеют адреса 192,168,1,10-100, а клиенты VPN - 192.168.1.150-200

54 minutes ago, metahor said:

Разрешайте доступ из конкретной сети. В Межсетевом экране

Поясните, пожалуйста, как это сделать, когда пул адресов VPN уже принадлежит локальной сети.

9 hours ago, Кинетиковод said:

Вашу проблему решит openvpn tap.

Проверю это по возможности, спасибо.

[Le ecureuil]

Пока точная настройка доступа для VPN не реализована.

[Евгений Аношин]

19 hours ago, Le ecureuil said:

Пока точная настройка доступа для VPN не реализована.

Как мне кажется, здесь всё же проблема не настройках доступа для VPN. Нет, не правильно выразился. В данном случае, с моей точки зрения, не требуется точной настройки. Проблема, опять  - как мне кажется, где-то во внутренней реализации.  Я в текущих условиях свою проблему решил, заменив подключение клиентов к роутеру с PPTP на L2TP. Но вот логического объяснения я такому поведению не вижу. Не должно такого быть.

 

On 2/22/2019 at 11:26 PM, Кинетиковод said:

Вашу проблему решит openvpn tap.

Увы, это проблему не решило. Не нашёл я на своём Кинетике Openvpn-сервера, только клиента. Установку пакетов OPKG не рассматривал.

[plagioklaz]

9 часов назад, Евгений Аношин сказал:

Не нашёл я на своём Кинетике Openvpn-сервера, только клиента.

Клиент - он же сервер. Отличие только в конфиге.

Изменено 27 февраля, 2019 пользователем plagioklaz