VPN, ресурсы за роутером

Обсуждение ПО и его настройки
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

yden писал(а):Честно, я тогда не понял этот vpn. Например я в "тьме-таракани" выхожу в интернет, мне нужна домашняя сеть. Я по впн соединяюсь. Мне нужно каждый раз маршруты прописывать? Ладно я научусь это делать, а, сотрудники например. Им админа давать от микротика?

Вы не так понимаете механизм.

1) Вы где-то далеко. Подключаетесь (формируете) ВПН подключение. Вы подключились к роутеру в офисе
1.1) Вы временно (пока держится ВПН-сессия) протянули логическую связь между Вами и Вашим офисным роутером
1.2) Ваш офисный роутер должен, нет, он выдал Вам адресацию и это адресация заранее прописана в локальной сети
и Ваши компьютеры должны знать где искать эту сеть. (будем её называть подсеть для ВПН'а)
2) то есть Вы получили по ВПНу адрес 1.20, а на работе есть компьютер с адресом 56.100, сети 1.0/24 и сеть 56.0/24
должны друг другу быть известны и прописаны на роутере(ах) Вашей организации.
То есть с компьютера 56.100 при запуске трасеровки до 1.20, она должна хотя бы начаться и дойти до микротика, который
и оказывает услуги ВПН-подключения.
2.1) Вы должны с компьютера где поднята сессия ВПН сделать трасерт до 56.100 и проверить что она тоже хотя бы началась,
и пошла куда-то (до микротика?)
2.2) проверить, что между этими сетями настроена Именно маршрутизация и нету НАТа.
3) Профит :co_ol:



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

Vlad-2 писал(а):3) Профит :co_ol:


Может это я слепой.. вы в конфиге вообще упоминание 56ой сети увидели хоть раз? ...
Я что-то не увидел ... при таком раскладе пофиг, что там прописано на ВПН клиенте .. там может и дефолт маршрут через ВПН берется, но ... сам микр не знает ничего про 56ую сетку ...


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

enzain писал(а):Может это я слепой.. вы в конфиге вообще упоминание 56ой сети увидели хоть раз? ...

Нет, Вы не слепой. В конфиге нету описание сети 56. Она лишь есть у компа. Я сам её с трудом углядел. :mi_ga_et:

Я поэтому и описал ТС как примерно у него должна происходить работа с ВПН (теоретически).
Юзер gmx с самого начала правильно сделал акцент, что вопросов пока что больше....
Ждём-с, когда ТС выйдет на связь и всё же по-русски и в деталях опишет
что он хочет, как хочет, ВПН он настраивает, что у него в сети, и так далее...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

Vlad-2 писал(а):
enzain писал(а):Может это я слепой.. вы в конфиге вообще упоминание 56ой сети увидели хоть раз? ...

Нет, Вы не слепой. В конфиге нету описание сети 56. Она лишь есть у компа. Я сам её с трудом углядел. :mi_ga_et:

Я поэтому и описал ТС как примерно у него должна происходить работа с ВПН (теоретически).
Юзер gmx с самого начала правильно сделал акцент, что вопросов пока что больше....
Ждём-с, когда ТС выйдет на связь и всё же по-русски и в деталях опишет
что он хочет, как хочет, ВПН он настраивает, что у него в сети, и так далее...


Так тогда VPN то не поможет ... если только ТС не собирается через VPN подключение именно в локальную сеть компа гонять траффик ...
В общем да, ждем видимо ...


yden
Сообщения: 96
Зарегистрирован: 27 июл 2017, 21:12

enzain писал(а):
yden писал(а):
enzain писал(а):
На роутере у вас в конфиге я что-тоне вижу сетку 56ую ...
Где она?

Честно, я тогда не понял этот vpn. Например я в "тьме-таракани" выхожу в интернет, мне нужна домашняя сеть. Я по впн соединяюсь. Мне нужно каждый раз маршруты прописывать? Ладно я научусь это делать, а, сотрудники например. Им админа давать от микротика?


Подождите с маршрутами ...
Я не вижу, чтобы у вас микротик что-то знал вообще про 56 подсеть, откуда она взялась? куда подключен ПК с этим адресом что вы тут писали?


Я вас видимо совсем запутал.
56 подсеть - это апишник ЛВС, из которой стучусь по vpn. Я в посте выше дал ipconfig с этой машины.
1 подсеть - сеть микротика, куда стучусь, клиенту впн выдается 192.168.1.20
Сам микротик сидит на 192.168.1.1 - локальный адрес, и соответственно есть внешний белый ip. Микротик еще поднимает внутри 2 подсеть.

как то так.
благодарю за хлопоты.


yden
Сообщения: 96
Зарегистрирован: 27 июл 2017, 21:12

Vlad-2 писал(а):
enzain писал(а):Может это я слепой.. вы в конфиге вообще упоминание 56ой сети увидели хоть раз? ...

Нет, Вы не слепой. В конфиге нету описание сети 56. Она лишь есть у компа. Я сам её с трудом углядел. :mi_ga_et:

Я поэтому и описал ТС как примерно у него должна происходить работа с ВПН (теоретически).
Юзер gmx с самого начала правильно сделал акцент, что вопросов пока что больше....
Ждём-с, когда ТС выйдет на связь и всё же по-русски и в деталях опишет
что он хочет, как хочет, ВПН он настраивает, что у него в сети, и так далее...


Исходные данные: микротик, снаружи белый ip, внутри две подсети 1 и 2. Внутри ЛВС есть клиенты, к которым нужен доступ (openhab, esp8266, nas). Пробрасывать порты не хочу так как на этих клиентах не хочу\не умеют заморачиваться с авторизацией (что нужно часто, например самба на nas - проброшены порты + авторизация). Внутри ЛВС коммунизм - все открыто для клиентов ЛВС. Обе подсети видны друг-другу.
Что хочу: по ВПН соединяться с микротиком и становиться клиентом внутренних сетей с неограниченным доступом к ресурсам ЛВС.

Сейчас по впн соединяюсь, ip присваивается 192.168.1.20. Микротик веб морда запускается, но как то криво - например в файлрволле правила дает создать, но редактировать - хрен. Пинг на микротик идет. За микротиком пинг не идет.

благодарю


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

yden писал(а):
Vlad-2 писал(а):
enzain писал(а):Может это я слепой.. вы в конфиге вообще упоминание 56ой сети увидели хоть раз? ...

Нет, Вы не слепой. В конфиге нету описание сети 56. Она лишь есть у компа. Я сам её с трудом углядел. :mi_ga_et:

Я поэтому и описал ТС как примерно у него должна происходить работа с ВПН (теоретически).
Юзер gmx с самого начала правильно сделал акцент, что вопросов пока что больше....
Ждём-с, когда ТС выйдет на связь и всё же по-русски и в деталях опишет
что он хочет, как хочет, ВПН он настраивает, что у него в сети, и так далее...


Исходные данные: микротик, снаружи белый ip, внутри две подсети 1 и 2. Внутри ЛВС есть клиенты, к которым нужен доступ (openhab, esp8266, nas). Пробрасывать порты не хочу так как на этих клиентах не хочу\не умеют заморачиваться с авторизацией (что нужно часто, например самба на nas - проброшены порты + авторизация). Внутри ЛВС коммунизм - все открыто для клиентов ЛВС. Обе подсети видны друг-другу.
Что хочу: по ВПН соединяться с микротиком и становиться клиентом внутренних сетей с неограниченным доступом к ресурсам ЛВС.

Сейчас по впн соединяюсь, ip присваивается 192.168.1.20. Микротик веб морда запускается, но как то криво - например в файлрволле правила дает создать, но редактировать - хрен. Пинг на микротик идет. За микротиком пинг не идет.

благодарю


На интерфейсе где у вас сеть, из которой присваивается ВПН пропишите прокси-арп в свойствах интерфейса. (езернетовского)


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

Или выделить себе другую подсеть (просто адрес) - и не мучиться. будет честный роутинг. Например 192.168.3.2 на клиента
Проще жить будет, честно


yden
Сообщения: 96
Зарегистрирован: 27 июл 2017, 21:12

enzain писал(а):Или выделить себе другую подсеть (просто адрес) - и не мучиться. будет честный роутинг. Например 192.168.3.2 на клиента
Проще жить будет, честно


Можно это поподробнее, плиз.


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

yden писал(а):
enzain писал(а):Или выделить себе другую подсеть (просто адрес) - и не мучиться. будет честный роутинг. Например 192.168.3.2 на клиента
Проще жить будет, честно


Можно это поподробнее, плиз.


Можно и поподробнее.

Вы на ВПН подключение выделяете адресацию из существующей сети.
Это не очень хорошо в данном случае, потому как требует включения прокси-арп на интерфейсе из этой сети.

Вы можете выделять на ВПН другую подсеть, например из диапазона 192.168.3.0/24
Т.е. микротику - 192.168.3.1
Если клиент 1 то ему 192.168.3.2

Тогда у вас все машины в сети будут знать что они идут через основной шлюз на адреса отличные от 192.168.1.0/24, и все будет нормально работать.


Ответить