Вопрос по маршрутизации через впн

[Werld]

Здравствуйте. Есть Extra (2.15.C.2.0-2) На ней поднят l2tp/ipsec сервер.

 

К этому серверу подключается клиент Lite3 rev.a (v2.08(AAUQ.4)C2) 

На клиенте, т.е. на Lite 3 есть разрешение для icmp на нужном интерфейсе

 

На сервере автоматически появляется маршрут: 

Теперь проблемы. Для начала первое, не пингуется Lite 3 (т.е. клиент). При попытке пинговать айпишник Lite3 (172.16.2.34) с ПК из домашней сети Экстры пинг не проходит. Также есть удаленный ПК на винде, который при подключении к этому же l2tp серверу получает ip 172.16.2.33 и с него также не проходит пинг до Lite3.

Все это при том, что, с самой Экстры  со страницы "Диагностика" айпишник Lite'a прекрасно пингуется. Кроме того, с ПК в домашней сети Экстры пингуется 172.16.2,33, т.е. удаленный ПК. Есть подозрение, что раз так, то проблема где-то у Lite, но ведь с веб морды экстры все пингуется... В общем не понятно. Поэтому и нужна помощь знатоков, что я делаю не так. Статью Маршрутизация сетей через VPN читал.

Изменено 25 марта, 2019 пользователем werldmgn

[Кинетиковод]

Маршрута в удалённую сеть на сервере что-то не видно. Пропишите маршрут и перезапустите l2tp сервер.

[Werld]

Да, спасибо за совет. Только вот мне не нужен доступ в удаленную сеть за Lite'ом, мне не понятно почему нет доступа к нему самому по адресу, который он получил от впн сервера. Дописал тем не менее, как советовали, но доступ к роутеру впн-клиенту не появился.

[Кинетиковод]

5 минут назад, werldmgn сказал:

Да, спасибо за совет. Только вот мне не нужен доступ в удаленную сеть за Lite'ом, мне не понятно почему нет доступа к нему самому по адресу, который он получил от впн сервера. Дописал тем не менее, как советовали, но доступ к роутеру впн-клиенту не появился.

Так может на клиенте помимо icmp ещё и tcp открыть?

[Werld]

Да я для начала хочу хотя бы пинга добиться до роутера этого. Прочтите еще раз пожалуйста внимательно первый пост. Я понимаю, что чтобы зайти на роутер нужно будет на нем еще и tcp открыть. Но даже с открытым icmp пинга до него нет. Вот, открыл, но ничего не поменялось. 

Изменено 25 марта, 2019 пользователем werldmgn

[Кинетиковод]

25 минут назад, werldmgn сказал:

Да я для начала хочу хотя бы пинга добиться до роутера этого. Прочтите еще раз пожалуйста внимательно первый пост. Я понимаю, что чтобы зайти на роутер нужно будет на нем еще и tcp открыть. Но даже с открытым icmp пинга до него нет. Вот, открыл, но ничего не поменялось.

Есть предположение, что из-за крайне старого ПО на клиенте он не получает маршрут в сеть сервера. Пропишите этот маршрут вручную, либо если есть возможность обновите ПО на актуальную версию. Хотя почему не ходят пинги между 172.16.2.33 и 172.16.2.34 не совсем понятно.

[Werld]

Маршрут в сеть сервера клиент получает. 

Только не понимаю, как наличие на клиенте маршрута в сеть сервера поможет устройству в сети сервера получить доступ до самого клиента? 

В том-то и прикол, что с устройств в сети сервера не пингуется 172.16.2.34 (адрес на l2tp интерфейсе клиента, получаемый от сервера.) Также он не пингуется с других ПК- клиентов подключаемых к l2tp серверу. При этом с веб-морды самого сервера(Extra KN17-10) этот же адрес пингуется!

 

Для Keenetic Lite 3 rev.a прошивка v2.08(AAUQ.4)C2 самая последняя.

[Кинетиковод]

7 минут назад, werldmgn сказал:

Маршрут в сеть сервера клиент получает. 

Это маршрут до сервера, а не в сеть сервера.

7 минут назад, werldmgn сказал:

Только не понимаю, как наличие на клиенте маршрута в сеть сервера поможет устройству в сети сервера получить доступ до самого клиента?

В данном случае имеет место быть 3 сети: локальная сеть, сеть сервера и удалённая сеть. Между этими сетями должна быть настроена маршрутизация. Маршрутизация на сервере между сетью сервера и локальной сетью настроена по умолчанию. А вот клиент знает только про сеть сервера, но не про локальную сеть за сервером. Поэтому у вас сервер и клиент пингуются, а компы и клиент нет. Клиент просто не знает маршрут в локальную сеть за сервером и не может ответить на пинг. Для решения данной проблемы сервер отправляет клиентам маршрут в локальную сеть за собой, но комп 172.16.2,33 маршрут получает, а Лайт в силу старого ПО нет. Пропишите маршрут в сеть за сервером вручную и Лайт сможет отвечать компам на пинги. 

16 минут назад, werldmgn сказал:

Для Keenetic Lite 3 rev.a прошивка v2.08(AAUQ.4)C2 самая последняя.

Официальная да, но драфт и легаси к вашим услугам. В курилке в архиве enpa всё расписано.

[Werld]

Да, простите, затупил это и правда маршрут до узла. Прописал маршрут до сети сервера, как рекомендовали, и пинги пошли. Большое спасибо за помощь. 

[Werld]

Такс, не совсем все решено. Из локальной сети сервера пинги до клиента пошли, действительно дело было в отсутствии маршрута на клиенте. Но вот непосредственно между  172.16.2.33 и 172.16.2.34 так и не ходят, и здесь не понятно, по идее они в одной сети, воообще без проблем должны друг друга видеть.

 

[Werld]

4 минуты назад, werldmgn сказал:

Такс, не совсем все решено. Из локальной сети сервера пинги до клиента пошли, действительно дело было в отсутствии маршрута на клиенте. Но вот непосредственно между  172.16.2.33 и 172.16.2.34 так и не ходят, и здесь не понятно, по идее они в одной сети, воообще без проблем должны друг друга видеть.

 

С этим тоже разобрался. Опять же просто добавил маршрут до сети 172.16.2.0/24 на Lite и все заработало. Еще раз спасибо Кинетиковод за помощь.