Соединение нескольких VPN клиентов

[Максим Дианов]

Добрый день.

Собственно, в чем задача и как она решается сейчас

1. VPN сервер на Keenetic Lite. Белый IP адрес. За ним находятся asterisk и 1С- сервер и немного клиентов. (192.168.10.0/24)

2. VPN клиент на Keenetic Lite. Серый IP адрес. За ним находятся клиенты 1С и телефонии и рабочие станции (192.168.0.0/24)

3. VPN клиент на Keenetic Extra. Серый IP адрес. За ним находятся клиенты 1С и телефонии и рабочие станции (192.168.2.0/24)

4. VPN клиент на Keenetic Viva. Серый IP адрес. За ним находятся 1 клиент 1С и 1 клиент телефонии (192.168.2.0/24)

 

Задача - все сети должны видеть друг друга, и трафик в туннели должен идти только адресованный этим сетям. Если в туннель идет весь трафик - то канала не хватает (пересылаются большие объемы плюс не работает IPTV провайдера на клиенте)

Как решено сейчас - клиенты 2 и 3 подцеплены по PPTP и в подключениях PPTP является верхним приоритетом подключения - весь трафик идет в туннель. Если приоритетным подключением является провайдер, то VOIP клиенты и 1С маршрутизируются во внешку. 

Клиент 4 подцеплен по IPSec он видит только сети (192.168.10.0/24) и (192.168.2.0/24) - маршрутизация правильная, но если мы подцепим к VPN серверу по IPSec других клиентов сети (192.168.0.0/24) и (192.168.2.0/24) для него недоступны.

 

Шо делать?

PS: Сорри за скупость технической речи

Изменено 18 апреля, 2019 пользователем Максим Дианов

[Le ecureuil]

Уточните, какая именно разновидность IPsec имеется в виду.

[Максим Дианов]

6 hours ago, Le ecureuil said:

Уточните, какая именно разновидность IPsec имеется в виду.

Как в данной инструкции. https://help.keenetic.com/hc/ru/articles/360000422620-IPSec-VPN-клиент-сервер

[Максим Дианов]

Ап!

[colimp]

Делал такое на pptp, все подсети друг-друга видят. В туннель трафик направляется согласно прописанных маршрутов. В инет все ходят через местных провайдеров.

Изменено 2 мая, 2019 пользователем colimp

[Le ecureuil]

Site-to-site IPsec не умеет работать с транзитом и в режиме hub by design.

[Максим Дианов]

On 5/3/2019 at 2:37 AM, colimp said:

Делал такое на pptp, все подсети друг-друга видят. В туннель трафик направляется согласно прописанных маршрутов. В инет все ходят через местных провайдеров.

Можете настройки маршрутизации показать? Я пробовал настраивать маршруты - все равно стучится в то подключение которое имеет приоритет, не заворачивает в PPTP если у него нет высшего приоритета в списке подключений

[Максим Дианов]

On 5/13/2019 at 3:31 PM, Le ecureuil said:

Site-to-site IPsec не умеет работать с транзитом и в режиме hub by design.

Какое технологическое решение возможно? Я готов все провесить на PPTP или IPsec/L2TP но как мне весь трафик по туннелю не гнать?

[Кинетиковод]

В 15.05.2019 в 08:10, Максим Дианов сказал:

как мне весь трафик по туннелю не гнать?

Не совсем понятно как пакет на локальный адрес сервера рвётся на внешку, я такого на Кинетиках не встречал. Если у вас адрес сервера прописан внешний, то конечно он идёт на внешку, а куда он должен идти? В вашем случае L2TP/IPsec то, что надо.

[Максим Дианов]

On 5/18/2019 at 2:11 AM, Кинетиковод said:

Не совсем понятно как пакет на локальный адрес сервера рвётся на внешку, я такого на Кинетиках не встречал. Если у вас адрес сервера прописан внешний, то конечно он идёт на внешку, а куда он должен идти? В вашем случае L2TP/IPsec то, что надо.

Смотрите как это работает сейчас. Keenetic клиент PPTP соединяет сегмент 192.168.20.0/32 с сервером 192.168.30.0/32 посредством интернет-провайдера. Если в приоритетах подключения стоит VPN-PPTP - весь трафик идет в туннель. В приоритетах подключения стоит "Провайдер" весь трафик идет в провайдера, но, есть возможность достучаться до PPTP сервера (предположим 192.168.30.1). Настройки маршрутизации 192.168.30.0/32 вести через 192.168.30.1 - не работает, трафик идет во внешку. Keenetic клиент PPTP, получает от сервера адрес 172.16.10.2 (опять таки к примеру). Явное прописывание маршрута 192.168.30.0/32 вести через 172.16.10.2 тоже не работает.

[Кинетиковод]

@Максим Дианов

У вас либо на клиентах указан внешний адрес сервера, либо не настроена маршрутизация должным образом.

Судя по тому, что у вас работает IPsec как вам надо можно предположить, что вы не настраивали маршрутизацию PPTP, для IPsec ведь ничего дополнительно настраивать не надо, но объединить несколько сетей с помощью IPsec не получиться, по крайней мере с вашими серыми клиентами.

Если же у вас сервер 192.168.30.0/32, то как он идёт на внешку не совсем понятно. Что вы имеете ввиду?

Допустим ваш сервер 192.168.30.0/32, используйте L2TP, т.к. он шифруется IPsec. Пример настройки маршрутизации для вашего случая описан тут.

[Максим Дианов]

On 5/20/2019 at 2:52 PM, Кинетиковод said:

@Максим Дианов

У вас либо на клиентах указан внешний адрес сервера, либо не настроена маршрутизация должным образом.

Судя по тому, что у вас работает IPsec как вам надо можно предположить, что вы не настраивали маршрутизацию PPTP, для IPsec ведь ничего дополнительно настраивать не надо, но объединить несколько сетей с помощью IPsec не получиться, по крайней мере с вашими серыми клиентами.

Если же у вас сервер 192.168.30.0/32, то как он идёт на внешку не совсем понятно. Что вы имеете ввиду?

Допустим ваш сервер 192.168.30.0/32, используйте L2TP, т.к. он шифруется IPsec. Пример настройки маршрутизации для вашего случая описан тут.

Все  проблемы решились внимательным курением статьи по ссылке Однако разнообразие производителей парка устройств VOIP добавило вариации при использовании бубна Всем спасибо, настраивайте маршрутизацию правильно!