alibek Posted October 18, 2017 Есть офисная сеть 192.168.1.0/24, в которой в качестве шлюза используется Zyxel Keenetic (192.168.1.254). Также в сети есть сервер (192.168.1.250), выполняющий функции офисного сервера (DHCP, DNS и прочее). На Zyxel Keenetic созданы следующие WAN-интерфейсы: PPPoE - доступ в интернет A.B.C.X/25 - доступ к подсетям A.B.C.0/22 и некоторым другим публичным узлам и подсетям. 10.1.144.3/24 - доступ к подсетям 10.1.0.0/16, 10.102.0.0/16 и т.д. Кинетик натит локальную сеть (192.168.1.0/24). На Кинетике также настроен VPN-сервер, выдающий адреса из пула 192.168.1.190-199. Если в настройках VPN выключить NAT, то подключившиеся VPN-пользователи имеют доступ к 192.168.1.0/24 и более никуда — что логично. Если в настройках VPN включить NAT, то трансляция выполняется только для WAN-интерфейсов, имеющих флаг "Доступ в интернет" (то есть только PPPoE-подключение). Соответственно подключившиеся VPN-пользователи имеют доступ к 192.168.1.0/24 (напрямую), к интернету (NAT на PPPoE), но не имеют доступа на приватные ресурсы (10.1.0.0/16). Включить флаг "Доступ в интернет" на остальных WAN-интерфейсах нельзя, логика маршрутизатора такова, что активное интернет-подключение может быть только одно, остальные резервные и активируются при падении основного. Вообще в Кинетике это можно сделать (в CLI), но там настолько странная логика команд, что сильно заморачиваться этим не хочется. Может кто помнит, как это сделать попроще? Мне нужно, чтобы с VPN-подключениями NAT работал также, как с LAN-подключениями (в LAN натится все, что не входит в подсеть, в VPN натится только интернет). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted October 18, 2017 show running-config (без приватных данных) покажите. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted October 18, 2017 Спойлер ! $$$ Model: ZyXEL Keenetic Lite III ! $$$ Version: 2.06.1 system set net.ipv4.ip_forward 1 set net.ipv4.tcp_fin_timeout 30 set net.ipv4.tcp_keepalive_time 120 set net.ipv4.netfilter.ip_conntrack_tcp_timeout_established 1200 set net.ipv4.netfilter.ip_conntrack_max 16384 set vm.swappiness 100 clock timezone Europe/Moscow clock date 18 Oct 2017 13:04:05 domainname *** hostname GATEWAY ! ntp server 0.pool.ntp.org ntp server 1.pool.ntp.org ntp server 2.pool.ntp.org ntp server 3.pool.ntp.org access-list _WEBADMIN_FastEthernet0/Vlan100 permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 permit tcp AA.AA.127.0 255.255.255.0 0.0.0.0 0.0.0.0 port gt 65000 ! isolate-private user admin password md5 *** password nt *** tag cli tag http ! user vpn_*** password md5 *** password nt *** tag vpn ! user vpn_* password md5 *** password nt *** tag vpn ! interface FastEthernet0 up ! interface FastEthernet0/1 rename 1 switchport mode access switchport access vlan 1 up ! interface FastEthernet0/2 rename 2 switchport mode access switchport access vlan 1 up ! interface FastEthernet0/3 rename 3 switchport mode access switchport access vlan 1 up ! interface FastEthernet0/4 rename 4 switchport mode trunk switchport trunk vlan 100 switchport trunk vlan 30 up ! interface FastEthernet0/Vlan1 description "Home VLAN" security-level private ip dhcp client dns-routes ip dhcp client name-servers up ! interface FastEthernet0/Vlan2 rename ISP description WAN mac address factory wan security-level public ip dhcp client hostname Keenetic_Lite ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1500 igmp upstream up ! interface FastEthernet0/0 rename 0 role inet for ISP switchport mode access switchport access vlan 2 up ! interface FastEthernet0/Vlan30 description SERVICE security-level public ip address 10.1.144.3 255.255.255.128 ip dhcp client hostname Keenetic_Lite ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1500 up ! interface FastEthernet0/Vlan100 description STATIC security-level public ip address AA.AA.124.80 255.255.255.128 ip dhcp client hostname Keenetic_Lite ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1500 ip access-group _WEBADMIN_FastEthernet0/Vlan100 in up ! interface Bridge0 rename Home description LAN inherit FastEthernet0/Vlan1 security-level private ip address 192.168.1.254 255.255.255.0 ip dhcp client dns-routes ip dhcp client name-servers igmp downstream up ! interface PPPoE0 description INTERNET no ipv6cp lcp echo 30 3 ipcp default-route ipcp name-servers ipcp dns-routes no ccp security-level public authentication identity *** authentication password ns3 *** ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1492 ip global 1000 ip tcp adjust-mss pmtu connect via ISP up ! ip route 10.1.0.0 255.255.0.0 10.1.144.1 FastEthernet0/Vlan30 auto ip route AA.AA.124.0 255.255.252.0 AA.AA.124.126 FastEthernet0/Vlan100 auto ip route 224.0.0.0 240.0.0.0 ISP auto ip route 10.102.0.0 255.255.0.0 10.1.144.1 FastEthernet0/Vlan30 auto ip route BB.BB.114.27 AA.AA.124.126 FastEthernet0/Vlan100 auto ip route 10.202.0.0 255.255.0.0 10.1.144.1 FastEthernet0/Vlan30 auto ip route default AA.AA.124.126 FastEthernet0/Vlan100 ip route default 10.1.144.1 FastEthernet0/Vlan30 ip dhcp pool _WEBADMIN enable ! ip dhcp pool _WEBADMIN_GUEST_AP enable ! ip name-server AA.AA.124.1 "" on FastEthernet0/Vlan100 ip name-server AA.AA.124.124 "" on FastEthernet0/Vlan100 ip name-server 10.1.128.11 "" on FastEthernet0/Vlan30 ip name-server 10.1.128.12 "" on FastEthernet0/Vlan30 ip http security-level private ip http lockout-policy 5 15 3 ip nat Home ip nat vpn ip telnet security-level private lockout-policy 5 15 3 ! ppe software vpn-server interface Home pool-range 192.168.1.190 10 mppe 128 lcp echo 30 3 ! service dhcp service dns-proxy service igmp-proxy service http service telnet service ntp-client service vpn-server ! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted October 18, 2017 Вообще VPN-пул при включении трансляции (ip nat vpn) натится во все интерфейсы с признаком security-level public, так как сам висит на Home и наследует security-level private. По логике натить должен везде. Единственное, что не понятно, зачем ip route default AA.AA.124.126 FastEthernet0/Vlan100 ip route default 10.1.144.1 FastEthernet0/Vlan30 если вы маршруты руками указали. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted October 19, 2017 9 часов назад, DRiVen сказал: По логике натить должен везде. Понятно. Тогда видимо файрвол режет доступ. 9 часов назад, DRiVen сказал: Единственное, что не понятно, зачем Хм... Проглядел. Видимо при добавлении интерфейса из GUI шлюз на автомате указал. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted October 20, 2017 23 часа назад, alibek сказал: Тогда видимо файрвол режет доступ. Похоже на то. Но никак не пойму, как эта шайтан-машина работает. Есть такая статья: https://help.keenetic.net/hc/ru/articles/115000045845 Судя по ней, ключевое — это навесить ACL на исходящий трафик (interface ISP ip access-group _WEBADMIN_ISP out). Но никак не могу понять, куда нужно навешивать ACL в моем случае. На vpn-server? Или на Home? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted October 20, 2017 На Home. Здесь более полно описано. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted October 20, 2017 Что-то не помогает. ... access-list VPN_ANY permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 permit udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 ... interface Bridge0 .... ip access-group VPN_ANY in ip access-group VPN_ANY out ... Но доступа к ресурсам за NAT не появилось. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted October 20, 2017 Не так. ACL на исходящий трафик, сиречь на принимающий его (трафик) интерфейс роутера, в случае с private-level - запрет на исходящий (от LAN), а с public - на входящий (к LAN или самому роутеру). В вашем случае это FastEthernet0/Vlan30, но почему-то мне кажется, что дело не в этом. P.S>Если не решится проблема, есть на работе похожая железка, в понедельник попробую смоделировать ситуацию. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted October 20, 2017 VPN-сервер висит на интерфейсе FastEthernet0/Vlan100, ACL пробовал вешать также и на него, равно как менять security-level, пока что ничего не помогает. Сейчас у меня такая конфигурация: Спойлер ! $$$ Model: ZyXEL Keenetic Lite III ! $$$ Version: 2.06.1 system set net.ipv4.ip_forward 1 set net.ipv4.tcp_fin_timeout 30 set net.ipv4.tcp_keepalive_time 120 set net.ipv4.netfilter.ip_conntrack_tcp_timeout_established 1200 set net.ipv4.netfilter.ip_conntrack_max 16384 set vm.swappiness 100 clock timezone Europe/Moscow clock date 20 Oct 2017 13:40:47 domainname COMPANY hostname GATEWAY ! ntp server 0.pool.ntp.org ntp server 1.pool.ntp.org ntp server 2.pool.ntp.org ntp server 3.pool.ntp.org access-list _WEBADMIN_FastEthernet0/Vlan100 permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 permit tcp AA.AA.127.0 255.255.255.0 0.0.0.0 0.0.0.0 port gt 65000 ! access-list VPN_ANY permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 permit udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 ! isolate-private user admin password md5 *** password nt *** tag cli tag http ! user vpn1 password md5 *** password nt *** tag vpn ! user vpn2 password md5 *** password nt *** tag vpn ! interface FastEthernet0 up ! interface FastEthernet0/1 rename 1 switchport mode access switchport access vlan 1 up ! interface FastEthernet0/2 rename 2 switchport mode access switchport access vlan 1 up ! interface FastEthernet0/3 rename 3 switchport mode access switchport access vlan 1 up ! interface FastEthernet0/4 rename 4 switchport mode trunk switchport trunk vlan 100 switchport trunk vlan 30 up ! interface FastEthernet0/Vlan1 description "Home VLAN" security-level private ip dhcp client dns-routes ip dhcp client name-servers up ! interface FastEthernet0/Vlan2 rename ISP description WAN mac address factory wan security-level public ip dhcp client hostname Keenetic_Lite ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1500 igmp upstream up ! interface FastEthernet0/0 rename 0 role inet for ISP switchport mode access switchport access vlan 2 up ! interface FastEthernet0/Vlan30 description SERVICE security-level public ip address 10.1.144.3 255.255.255.128 ip dhcp client hostname Keenetic_Lite ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1500 up ! interface FastEthernet0/Vlan100 description STATIC security-level public ip address AA.AA.124.80 255.255.255.128 ip dhcp client hostname Keenetic_Lite ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1500 ip access-group _WEBADMIN_FastEthernet0/Vlan100 in up ! interface Bridge0 rename Home description LAN inherit FastEthernet0/Vlan1 security-level private ip address 192.168.1.254 255.255.255.0 ip dhcp client dns-routes ip dhcp client name-servers ip access-group VPN_ANY in ip access-group VPN_ANY out igmp downstream up ! interface PPPoE0 description INTERNET no ipv6cp lcp echo 30 3 ipcp default-route ipcp name-servers ipcp dns-routes no ccp security-level public authentication identity *** authentication password ns3 *** ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1492 ip global 1000 ip tcp adjust-mss pmtu connect via ISP up ! ip route 10.1.0.0 255.255.0.0 10.1.144.1 FastEthernet0/Vlan30 auto ip route AA.AA.124.0 255.255.252.0 AA.AA.124.126 FastEthernet0/Vlan100 auto ip route 224.0.0.0 240.0.0.0 ISP auto ip route 10.102.0.0 255.255.0.0 10.1.144.1 FastEthernet0/Vlan30 auto ip route 83.239.114.27 AA.AA.124.126 FastEthernet0/Vlan100 auto ip route 10.202.0.0 255.255.0.0 10.1.144.1 FastEthernet0/Vlan30 auto ip route default AA.AA.124.126 FastEthernet0/Vlan100 ip route default 10.1.144.1 FastEthernet0/Vlan30 ip dhcp pool _WEBADMIN enable ! ip dhcp pool _WEBADMIN_GUEST_AP enable ! ip name-server AA.AA.124.1 "" on FastEthernet0/Vlan100 ip name-server AA.AA.124.124 "" on FastEthernet0/Vlan100 ip name-server 10.1.128.11 company.local on FastEthernet0/Vlan30 ip name-server 10.1.128.12 company.local on FastEthernet0/Vlan30 ip http security-level private ip http lockout-policy 5 15 3 ip nat Home ip nat vpn ip telnet security-level private lockout-policy 5 15 3 ! ppe software vpn-server interface Home pool-range 192.168.0.190 10 static-ip vpn1 192.168.0.191 static-ip vpn2 192.168.0.192 mppe 128 lcp echo 30 3 ! service dhcp service dns-proxy service igmp-proxy service http service telnet service ntp-client service vpn-server ! ТП Zyxel говорит, что должно работать, но не работает. ACL VPN_ANY я пробовал вешать на все интерфейсы, не помогло. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted October 21, 2017 Хм... Тут попутно еще одна странная проблема возникла. VPN-сервер работает на Кинетике, на постоянном адресе. ПК подключен к интернету через маршрутизатор, маршрутизатор Eltex, подключение PPPoE, IP-адрес получает из пула AA.AA.127.0/24. Подключение VPN устанавливается успешно, все работает (кроме NAT на внутренние ресурсы). Подключаю ПК в другое место, также через маршрутизатор (только теперь Zyxel), подключение точно такое же — PPPoE, адреса из пула AA.AA.127.0/24. Но теперь VPN не подключается, ошибка 619. Обычно эта ошибка бывает из-за неправильной настройки клиента, сервера или файрвола сервера, но в моем случае все осталось без изменений. Единственное что поменялось — это клиентский маршрутизатор. Что он такого может блокировать, что не работает VPN? Мне на ум приходит только GRE, но в Кинетике включен ALG PPTP. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted October 21, 2017 Схему подключения не понял. КМК на кеентрике поднят pptp-сервер, сам кеерник цепляется по ппое и получает реальник, к нему цепляются по рртр, так ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted October 21, 2017 Есть офисный Кинетик, на нем три интерфейса (2 статичных, 1 PPPoE), также на нем работает VPN-сервер (на статичном интерфейсе). Есть домашний Кинетик с PPPoE (публичный IP), за которым находится ПК с VPN-подключением. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted October 31, 2017 Может кому пригодиться. Чтобы все заработало, добавил такую конфигурацию: access-list VPN_ANY permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 exit ! interface FastEthernet0/Vlan30 ip access-group VPN_ANY out exit ! interface FastEthernet0/Vlan100 ip access-group VPN_ANY out exit Для permit ip пришлось обновиться, на старых версиях можно указывать только icmp/tcp/udp. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MarichkaV Posted November 1, 2017 спасибочки Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Dmitry12345 Posted November 24, 2020 (edited) В 31.10.2017 в 10:57, alibek сказал: Может кому пригодиться. Чтобы все заработало, добавил такую конфигурацию: access-list VPN_ANY permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 exit ! interface FastEthernet0/Vlan30 ip access-group VPN_ANY out exit ! interface FastEthernet0/Vlan100 ip access-group VPN_ANY out exit Для permit ip пришлось обновиться, на старых версиях можно указывать только icmp/tcp/udp. Чувак, ну ты красава!!!! У меня была похлеще ситуация, нужно было с VPN туннеля до одного офиса (интернет центр киннектик ULTRA) и меть доступ в локалку 2х других офисов тоже на роутерах киннектик ULTRA (т.е все локальные хосты спокойно имеют туда доступ, но через туннель (VPN) - только в свой). После 2х недельной попытки разобраться как же это делается? уже начал отчаиваться, что ничего не получится! И пришел к выводу, что для домашних целей = все на зюхах хорошо! но в профессиональных - сплошные костыли. 1. С чем столкнулся, что правила на исходящий трафик делаются через консоль или http://192.168.1.1/a (а первые попытки делал через веб и следовательно нулевой результат + потеря времени и нервов). 2. Не понятно было какому же интерфейсу давать данное правило? (приходилось перебирать все, а их много). 3. Общался с поддержкой и как после выяснялось, я смог получить только часть нужной команды.... но благо Автору темы (alibek) - мозаика сошлась! Вот мой вариант решения: interface PPTP1 ip access-group _WEBADMIN_PPTP1 out access-list _WEBADMIN_PPTP1 permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 exit system config-save Толстым отметил интерфейс, так что у кого-то это может быть LAN порт (FastEthernet0/Vlan30) , WAN порт (ISP), VPN (PPTP0 или L2TP0...). в 3й и 1й команде ip означает = доступ по всем протоколам (TCP/UDP/ICMP). Edited November 24, 2020 by Dmitry12345 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Jump19 Posted April 2, 2021 Приветствую всех! Проблема схожая Есть провайдер. Выдает адреса типа 10.139.66.0 Интернет рррое На кинетике есть впн сервер. При подключении к нему нужно иметь доступ в локальную сеть провайдера 10.139.66.0. Способ выше не получается реализоать. Либо не верно конф пишу, помогите, кто чем сможет ) на асусе работает из коробки без проблем Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
