Попалась вот такая задачка. Нужно проложить VPN туннель к серверу за 3- мя роутерами. Так сложилось у клиента схему поменять нет возможности. Подскажите если кто уже делал какие лежат на пути подводные камни. Думаю поднять Сервер PPtP на 10.11.11.2 и пробросить до него порт 1723 с пограничного роутера.
VPN через три роутера
-
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
- Сообщения: 1601
- Зарегистрирован: 15 сен 2017, 09:03
Вероятно нужно называть всё своими именами. Вам нужно прокинуть VPN туннель не "к серверу за 3-мя роутерами", а к роутеру 10.11.11.2, т.к. сервер, исходя из Вашей схемы, получает адрес в локальной сети 192.168.88.2 от него и соответственно маршрутизация между 10.11.11.2 и 192.168.88.2 уже есть.
Да, вероятно можно поднять pptp-сервер на 10.11.11.2. Порт 1723 до него Вам придется прокидывать "последовательно" - с первого роутера на второй и со второго на третий.
Через один роутер на второй я pptp прокидывал, через два на третий не приходилось ...
Можно, вероятно, pptp-сервер сделать и на первом роутере или на втором - т.е. на любом.
Если на первом (что проще), то порт прокидывать не нужно будет, всё должно работать, если все три роутера связаны нормально простой маршрутизацией. Ваши pptp-клиенты будут связываться с первым роутером (имеющим белый IP), а дальше, если запретов нет, соединение пойдет уже вне VPN по существующим статическим маршрутам через оставшиеся роутеры к Вашему локальному серверу. Мне кажется так проще и без геморроя ...
Да, вероятно можно поднять pptp-сервер на 10.11.11.2. Порт 1723 до него Вам придется прокидывать "последовательно" - с первого роутера на второй и со второго на третий.
Через один роутер на второй я pptp прокидывал, через два на третий не приходилось ...
Можно, вероятно, pptp-сервер сделать и на первом роутере или на втором - т.е. на любом.
Если на первом (что проще), то порт прокидывать не нужно будет, всё должно работать, если все три роутера связаны нормально простой маршрутизацией. Ваши pptp-клиенты будут связываться с первым роутером (имеющим белый IP), а дальше, если запретов нет, соединение пойдет уже вне VPN по существующим статическим маршрутам через оставшиеся роутеры к Вашему локальному серверу. Мне кажется так проще и без геморроя ...
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Я мож не так задачу понял но попытался бы делать так:
1) взял какую-то не пересекающую (ни с кем) IP-сетку, можно не большую, скажем /29 (для запаса)
2) стал её "вести" маршрутами с 1-го(условно) до последнего (условно) роутера, описывая маршруты по пути на других роутерах.
3) натянул IP-IP туннель между IP этой сетки /29 (один адрес будет на 1-м роутере, второй адрес будет на последнем роутере)
4) на роутере последнем загонял всё что нужно в IPIP туннель (и загонялось туда с адресацией которая есть, химичить не надо было),
на роутере с внешкой - получаем адресацию серую того роутера и той сети, как надо, видим всех клиентов, можем делать
ограничения, ну и на выходе натить эту сетку и в глобал.
Как ни крути, маршрутизацию вначале чуть сложнее делать, но потом гибче всё остальное получать.
P.S.
У меня между работой и домом натянут GRE туннель(L3-траф), внутри него 4-е(четыре) EoiP туннеля(L2-траф),
каждый который уходит/привязан к каналу своему (провайдеру) на работе, у меня (дома) эти туннели оформлены
как отдельные WAN'ы (4-е штуки).
Когда порой сдаём тех-поддержке проверку каналов, а они звонят по Москве (а у меня
это поздний вечер/ночь), а канал и мне выгодно проверить и им заявку закрыть, удобно вставать
мне на такой канал и чисто проверять как он работает, имитируя что я на работе.
1) взял какую-то не пересекающую (ни с кем) IP-сетку, можно не большую, скажем /29 (для запаса)
2) стал её "вести" маршрутами с 1-го(условно) до последнего (условно) роутера, описывая маршруты по пути на других роутерах.
3) натянул IP-IP туннель между IP этой сетки /29 (один адрес будет на 1-м роутере, второй адрес будет на последнем роутере)
4) на роутере последнем загонял всё что нужно в IPIP туннель (и загонялось туда с адресацией которая есть, химичить не надо было),
на роутере с внешкой - получаем адресацию серую того роутера и той сети, как надо, видим всех клиентов, можем делать
ограничения, ну и на выходе натить эту сетку и в глобал.
Как ни крути, маршрутизацию вначале чуть сложнее делать, но потом гибче всё остальное получать.
P.S.
У меня между работой и домом натянут GRE туннель(L3-траф), внутри него 4-е(четыре) EoiP туннеля(L2-траф),
каждый который уходит/привязан к каналу своему (провайдеру) на работе, у меня (дома) эти туннели оформлены
как отдельные WAN'ы (4-е штуки).
Когда порой сдаём тех-поддержке проверку каналов, а они звонят по Москве (а у меня
это поздний вечер/ночь), а канал и мне выгодно проверить и им заявку закрыть, удобно вставать
мне на такой канал и чисто проверять как он работает, имитируя что я на работе.
-
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
Спасибо всем ответившим!
Сложность в том что первые два роутера принадлежат дружественной фирме, с админом которой есть взаимопонимание. Между ними там ещё много чего есть, в том числе и 2 радиомоста. К счастью все роутеры на маршруте - Микротик.
Сегодня поеду на объект будем разбираться.
Я рассматриваю вариант с пробросом порта как основной - более простой в реализации. И вариант поднять VPN сервер на пограничном маршрутезаторе с пробросом как резервный, если первый не покатит. (Вдруг там уже поднят VPN сервер).
Будут результаты отпишусь
Сложность в том что первые два роутера принадлежат дружественной фирме, с админом которой есть взаимопонимание. Между ними там ещё много чего есть, в том числе и 2 радиомоста. К счастью все роутеры на маршруте - Микротик.
Сегодня поеду на объект будем разбираться.
Я рассматриваю вариант с пробросом порта как основной - более простой в реализации. И вариант поднять VPN сервер на пограничном маршрутезаторе с пробросом как резервный, если первый не покатит. (Вдруг там уже поднят VPN сервер).
Будут результаты отпишусь
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
Пока борюсь. Проброс порта 1723 не дает результата в логе пишет что TCP соединение принято, а VPN соединение не устанавливается. Проброс порта для винбокса работает. Первый роутер оказался керио.
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
- Сообщения: 185
- Зарегистрирован: 24 ноя 2016, 21:14
PPtP просит еще прокинуть не только TCP 1723, но GRE пакеты c чем вероятно будут сложности.
Можете попробовать L2TP тот живет только в TCP/UDP пространстве без GRE и подобных протолов.
-
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
Похоже что ответ не доходит. Попробуем сменить протокол. Спасибо за совет.
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
В общем после длительных экспериментов удалось прокинуть тунель L2TP в обратную сторону, сделав роутер 10.11.11.2 клиентом. Все другие варианты, которые пробовали, не заработали
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
- Сообщения: 1601
- Зарегистрирован: 15 сен 2017, 09:03
Это значит, что порты не смогли нормально пробросить (для первоначально планируемого варианта, где этот роутер планировали сделать сервером).
Ну вышли из положения и хорошо ... Так тоже можно, проще даже ...
Ну вышли из положения и хорошо ... Так тоже можно, проще даже ...
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
-
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
Да у админа там так всё наворочено, что он не смог разрулить обратный трафик. То есть туда пакеты доходили, обратно ответ терялся.
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.