VPN сервер, клиенты не видят друг друга

[rm2]

на ULTRA 2 поднял Сервер PPTP.

прошивка - альфа А7

из интернета к серверу подключаются клиенты, первому присваивается IP 172.16.1.30, второму - 172.16.1.31. клиенты могут пинговать друг друга, но доступа к портам что по TCP, что по UDP - нет, разные сетевые приложения через эти IP адреса не работают. Доступ к локальной сети роутера (той что 192.168.1.*) - не нужен. Нужно чтобы между клиентами была своя сеть, со своими адресами, и что бы клиенты могли видеть друг друга. Пробывал настроить межсетевой экран - но интерфейса VPN там нет, а если для локалки открывтаь порты - то все равно клиенты друг друга не видят.

Что я делаю не так? Статьи из серии kb4214 советы не помогают - единственное что там есть - это настройка маршрута из одной подсети в другую, но мне нужно просто чтобы клиенты друг друга видели в рамках тех IP что им выдаются при подключение, а не лазали в локалку.

[Le ecureuil]

Сегодня был собран тестовый стенд из 2-х машин на windows 7 с отключенными брендмауэрами, и испытана ваша схема.

В результате тестов было обнаружено, что все работоспособно: пинги проходит, расшаренные папки на обеих машинах видны с обоих сторон туннелей.

Есть подозрение, что может быть виновата настройка брендмауера (попробуйте выключить его совсем на обоих клиентах), или же недостаточен MTU - попробуйте на vpn-интерфейсах клиентов снизить MTU до 1280 (например https://support.zen.co.uk/kb/Knowledgebase/Changing-the-MTU-size-in-Windows-Vista-7-or-8 ), и еще если не затруднит - выложите пожалуйста self-test устройства.

В любом случае, если проходят пинги (пакеты малого размера), значит внутри кинетика пакеты обрабатываются верно и все должно работать - нужно искать причину извне.

[rm2]

спасибо за ваш ответ.

попробуйте одну машину подключать из интернета,

а вторую - хоть и по интернетовскому адресу, но чтобы она была к роутеру подключена как один из компов локалки роутера.

т.е. на роутере включаем впн сервер

выясняем его внешний интернетовский wan ip адрес. (у меня он динамический, поэтому я всем клиентам его сначала передаю)

потом на машине А, которая вообще к сети роутера отношения не имеет настраиваем впн подключение стандартными средствами Windows7 на этот адресс, подключаемся, впн сервер выделяет адрес этой машине, скажем 172.16.1.30

берем машину Б, которая подключена к роутеру, и которой роутер раздает интернет.

также как на машине А настраиваем впн подключение, в качестве адреса на который подключаться опять указываем интернетовский wan адресс роутера.

подключаемся, впн сервер выделяет адрес этой машине, скажем 172.16.1.31

вот после этого пинги между А и Б есть, а обращения по tcp и udp - не работают. брендмауеры, естественно, везде выключены.

[Le ecureuil]

Несмотря на то, что нахожу вашу схему несколько необычной, ее тоже проверил: все работоспособно.

Приклыдваю self-test роутера с подключенными двумя клиентами - один через IPoE WAN с адреса 192.168.2.220 (IPoE WAN роутера 192.168.2.10) с внутренним адресом 172.16.1.33, другой через LAN (LAN подсеть роутера 192.168.5.0/24) с адреса 192.168.5.33 (внутренний адрес 172.16.1.34).

Из этого self-test видно, что оба клиента успешно подключены, и в conntrack имеется запись

tcp      6 1197 ESTABLISHED src=172.16.1.33 dst=172.16.1.34 sport=49185 dport=139 packets=1511 bytes=240011 src=172.16.1.34 dst=172.16.1.33 sport=139 dport=49185 packets=1982 bytes=1615365 [ASSURED] mark=0 use=2

Которая подтверждает успешный обмен данными между vpn-клиентами.

Просьба еще раз проверить вашу схему и прислать self-test вашего роутера в момент, когда подключены клиенты, они успешно пингуют друг друга, но нету связи по другим протоколам.

self-test(3).txt.zip

[rm2]

Вроде разобрался в чем была причина - я использовал широковещательные udp заросы. А они, как я понимаю через pptp vpn не работают.

поэтому вопрос:

1) это можно как то обойти?

2) может быть они будут работать на уровне IPsec VPN?

[rm2]

и еще вопрос:

а как сделать свой собственный сегмент сети, с выделением ему физического порта, так чтобы VPN имели доступ к этой сети? Я создал стандартными средствами новый сегмент, отвязал порт от от "home" сети и добавил его в новый сегмент, однако на странице настроек VPN сервера в выпадающем списке у опции "Доступ к сети:" этот сегмент новый так и не появился... я чтото не понимаю?

[ndm]

и еще вопрос:

а как сделать свой собственный сегмент сети, с выделением ему физического порта, так чтобы VPN имели доступ к этой сети? Я создал стандартными средствами новый сегмент, отвязал порт от от "home" сети и добавил его в новый сегмент, однако на странице настроек VPN сервера в выпадающем списке у опции "Доступ к сети:" этот сегмент новый так и не появился... я чтото не понимаю?

Видимо, известный глюк с security-level private. Попробуйте выставить данный параметр сегменту через CLI.

[rm2]

Видимо, известный глюк с security-level private. Попробуйте выставить данный параметр сегменту через CLI.

Спасибо за ответ. А с широковещанием через VPN как быть?

[Le ecureuil]

Видимо, известный глюк с security-level private. Попробуйте выставить данный параметр сегменту через CLI.

Спасибо за ответ. А с широковещанием через VPN как быть?

Какое конкретно у вас широковещание: на весь интернет, или именно на broadcast-адрес удаленной сети?

[rm2]

Видимо, известный глюк с security-level private. Попробуйте выставить данный параметр сегменту через CLI.

Спасибо за ответ. А с широковещанием через VPN как быть?

Какое конкретно у вас широковещание: на весь интернет, или именно на broadcast-адрес удаленной сети?

В идеале должно быть следующее:

1) на роутере есть два сегмента. один обычный домашний 192.168.1.1

часть физических портов и весь вай фай - это домашние пользователи, TV, которые используют интернет, dlna, торрент.

2) второй сегмент - рабочий, т.е. для работы. у него должна быть оставшаяся часть портов, к которым подключен сервер, а также к этой подсети должны подключаться впн клиенты(как внешние пользователи, откуда нибудь из интернета, так и внутренние, из домашней сети, тоже через впн). соответственно, адресное пространство там что нибудь из серии 192.168.2.1

3) физически эти сегменты должны быть отделены друг от друга, чтобы иначе чем через впн и через выделенный физический порт нельзя было никак в рабочую сеть попасть из домашней, и из рабочей в домашнюю

4) некоторые клиенты впн используют программное обеспечение, которое рассылает в рамках этой подсети 192.168.2.1 широковещательные сообщения. грубо говоря, на компах клиентов стоят агенты, которые при помощи широковещательных udp запросов находят друг друга.

так вот, широковещательные эти запросы не проходят в рамках впн сети. т.е. если послать по сети 192.168.2.1 броадкаст сообщение - то клиенты 192.168.2.2, 192.168.2.3 и прочие подобные его не получат.

я пробывал создать сегмент, и в настройках Сервера PPTP пул адрессов выдавать из числа адресов этого сегмента - но в списке опции "Доступ к сети" не этого сегмента.

[Shota]

up!

Так же интересовал этот вопрос, технология в частности udp broadcast. В сети нашёл что-то невнятное на основе openvpn (бридж).

В гугле можно искать по статьям в стиле lan game openvpn broadcast. Бывает используется старый софт, когда как раз этот udp broadcast очень нужен.

Железка viva, возможно есть какой-то способ для реализации данной задачи? Через (PPTP) - на сколько я понял - реализовать это нельзя, на openvpn заведётся?

[Le ecureuil]

up!

Так же интересовал этот вопрос, технология в частности udp broadcast. В сети нашёл что-то невнятное на основе openvpn (бридж).

В гугле можно искать по статьям в стиле lan game openvpn broadcast. Бывает используется старый софт, когда как раз этот udp broadcast очень нужен.

Железка viva, возможно есть какой-то способ для реализации данной задачи? Через (PPTP) - на сколько я понял - реализовать это нельзя, на openvpn заведётся?

Да, на openvpn + keenopt/entware довольно легко.