VPN через три роутера

Обсуждение ПО и его настройки
Ответить
Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

Попалась вот такая задачка. Нужно проложить VPN туннель к серверу за 3- мя роутерами. Так сложилось у клиента схему поменять нет возможности. Подскажите если кто уже делал какие лежат на пути подводные камни. Думаю поднять Сервер PPtP на 10.11.11.2 и пробросить до него порт 1723 с пограничного роутера.
Изображение


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Вероятно нужно называть всё своими именами. Вам нужно прокинуть VPN туннель не "к серверу за 3-мя роутерами", а к роутеру 10.11.11.2, т.к. сервер, исходя из Вашей схемы, получает адрес в локальной сети 192.168.88.2 от него и соответственно маршрутизация между 10.11.11.2 и 192.168.88.2 уже есть.
Да, вероятно можно поднять pptp-сервер на 10.11.11.2. Порт 1723 до него Вам придется прокидывать "последовательно" - с первого роутера на второй и со второго на третий.
Через один роутер на второй я pptp прокидывал, через два на третий не приходилось ...

Можно, вероятно, pptp-сервер сделать и на первом роутере или на втором - т.е. на любом.

Если на первом (что проще), то порт прокидывать не нужно будет, всё должно работать, если все три роутера связаны нормально простой маршрутизацией. Ваши pptp-клиенты будут связываться с первым роутером (имеющим белый IP), а дальше, если запретов нет, соединение пойдет уже вне VPN по существующим статическим маршрутам через оставшиеся роутеры к Вашему локальному серверу. Мне кажется так проще и без геморроя ...


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Я мож не так задачу понял но попытался бы делать так:

1) взял какую-то не пересекающую (ни с кем) IP-сетку, можно не большую, скажем /29 (для запаса)
2) стал её "вести" маршрутами с 1-го(условно) до последнего (условно) роутера, описывая маршруты по пути на других роутерах.
3) натянул IP-IP туннель между IP этой сетки /29 (один адрес будет на 1-м роутере, второй адрес будет на последнем роутере)
4) на роутере последнем загонял всё что нужно в IPIP туннель (и загонялось туда с адресацией которая есть, химичить не надо было),
на роутере с внешкой - получаем адресацию серую того роутера и той сети, как надо, видим всех клиентов, можем делать
ограничения, ну и на выходе натить эту сетку и в глобал.

Как ни крути, маршрутизацию вначале чуть сложнее делать, но потом гибче всё остальное получать.


P.S.
У меня между работой и домом натянут GRE туннель(L3-траф), внутри него 4-е(четыре) EoiP туннеля(L2-траф),
каждый который уходит/привязан к каналу своему (провайдеру) на работе, у меня (дома) эти туннели оформлены
как отдельные WAN'ы (4-е штуки).
Когда порой сдаём тех-поддержке проверку каналов, а они звонят по Москве (а у меня
это поздний вечер/ночь), а канал и мне выгодно проверить и им заявку закрыть, удобно вставать
мне на такой канал и чисто проверять как он работает, имитируя что я на работе.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

Спасибо всем ответившим!
Сложность в том что первые два роутера принадлежат дружественной фирме, с админом которой есть взаимопонимание. Между ними там ещё много чего есть, в том числе и 2 радиомоста. К счастью все роутеры на маршруте - Микротик.
Сегодня поеду на объект будем разбираться.
Я рассматриваю вариант с пробросом порта как основной - более простой в реализации. И вариант поднять VPN сервер на пограничном маршрутезаторе с пробросом как резервный, если первый не покатит. (Вдруг там уже поднят VPN сервер).
Будут результаты отпишусь


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

Пока борюсь. Проброс порта 1723 не дает результата в логе пишет что TCP соединение принято, а VPN соединение не устанавливается. Проброс порта для винбокса работает. Первый роутер оказался керио.


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
anad
Сообщения: 185
Зарегистрирован: 24 ноя 2016, 21:14

Ca6ko писал(а): 23 янв 2019, 10:03 Пока борюсь. Проброс порта 1723 не дает результата в логе пишет что TCP соединение принято, а VPN соединение не устанавливается. Проброс порта для винбокса работает. Первый роутер оказался керио.
PPtP просит еще прокинуть не только TCP 1723, но GRE пакеты c чем вероятно будут сложности.
Можете попробовать L2TP тот живет только в TCP/UDP пространстве без GRE и подобных протолов.


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

Похоже что ответ не доходит. Попробуем сменить протокол. Спасибо за совет.


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

В общем после длительных экспериментов удалось прокинуть тунель L2TP в обратную сторону, сделав роутер 10.11.11.2 клиентом. Все другие варианты, которые пробовали, не заработали


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Это значит, что порты не смогли нормально пробросить (для первоначально планируемого варианта, где этот роутер планировали сделать сервером).
Ну вышли из положения и хорошо ... Так тоже можно, проще даже ...


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

Да у админа там так всё наворочено, что он не смог разрулить обратный трафик. То есть туда пакеты доходили, обратно ответ терялся.


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
Ответить