alibek Опубликовано 18 октября, 2017 · Жалоба Есть офисная сеть 192.168.1.0/24, в которой в качестве шлюза используется Zyxel Keenetic (192.168.1.254). Также в сети есть сервер (192.168.1.250), выполняющий функции офисного сервера (DHCP, DNS и прочее). На Zyxel Keenetic созданы следующие WAN-интерфейсы: PPPoE - доступ в интернет A.B.C.X/25 - доступ к подсетям A.B.C.0/22 и некоторым другим публичным узлам и подсетям. 10.1.144.3/24 - доступ к подсетям 10.1.0.0/16, 10.102.0.0/16 и т.д. Кинетик натит локальную сеть (192.168.1.0/24). На Кинетике также настроен VPN-сервер, выдающий адреса из пула 192.168.1.190-199. Если в настройках VPN выключить NAT, то подключившиеся VPN-пользователи имеют доступ к 192.168.1.0/24 и более никуда — что логично. Если в настройках VPN включить NAT, то трансляция выполняется только для WAN-интерфейсов, имеющих флаг "Доступ в интернет" (то есть только PPPoE-подключение). Соответственно подключившиеся VPN-пользователи имеют доступ к 192.168.1.0/24 (напрямую), к интернету (NAT на PPPoE), но не имеют доступа на приватные ресурсы (10.1.0.0/16). Включить флаг "Доступ в интернет" на остальных WAN-интерфейсах нельзя, логика маршрутизатора такова, что активное интернет-подключение может быть только одно, остальные резервные и активируются при падении основного. Вообще в Кинетике это можно сделать (в CLI), но там настолько странная логика команд, что сильно заморачиваться этим не хочется. Может кто помнит, как это сделать попроще? Мне нужно, чтобы с VPN-подключениями NAT работал также, как с LAN-подключениями (в LAN натится все, что не входит в подсеть, в VPN натится только интернет). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 18 октября, 2017 · Жалоба show running-config (без приватных данных) покажите. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 18 октября, 2017 · Жалоба Спойлер ! $$$ Model: ZyXEL Keenetic Lite III ! $$$ Version: 2.06.1 system set net.ipv4.ip_forward 1 set net.ipv4.tcp_fin_timeout 30 set net.ipv4.tcp_keepalive_time 120 set net.ipv4.netfilter.ip_conntrack_tcp_timeout_established 1200 set net.ipv4.netfilter.ip_conntrack_max 16384 set vm.swappiness 100 clock timezone Europe/Moscow clock date 18 Oct 2017 13:04:05 domainname *** hostname GATEWAY ! ntp server 0.pool.ntp.org ntp server 1.pool.ntp.org ntp server 2.pool.ntp.org ntp server 3.pool.ntp.org access-list _WEBADMIN_FastEthernet0/Vlan100 permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 permit tcp AA.AA.127.0 255.255.255.0 0.0.0.0 0.0.0.0 port gt 65000 ! isolate-private user admin password md5 *** password nt *** tag cli tag http ! user vpn_*** password md5 *** password nt *** tag vpn ! user vpn_* password md5 *** password nt *** tag vpn ! interface FastEthernet0 up ! interface FastEthernet0/1 rename 1 switchport mode access switchport access vlan 1 up ! interface FastEthernet0/2 rename 2 switchport mode access switchport access vlan 1 up ! interface FastEthernet0/3 rename 3 switchport mode access switchport access vlan 1 up ! interface FastEthernet0/4 rename 4 switchport mode trunk switchport trunk vlan 100 switchport trunk vlan 30 up ! interface FastEthernet0/Vlan1 description "Home VLAN" security-level private ip dhcp client dns-routes ip dhcp client name-servers up ! interface FastEthernet0/Vlan2 rename ISP description WAN mac address factory wan security-level public ip dhcp client hostname Keenetic_Lite ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1500 igmp upstream up ! interface FastEthernet0/0 rename 0 role inet for ISP switchport mode access switchport access vlan 2 up ! interface FastEthernet0/Vlan30 description SERVICE security-level public ip address 10.1.144.3 255.255.255.128 ip dhcp client hostname Keenetic_Lite ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1500 up ! interface FastEthernet0/Vlan100 description STATIC security-level public ip address AA.AA.124.80 255.255.255.128 ip dhcp client hostname Keenetic_Lite ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1500 ip access-group _WEBADMIN_FastEthernet0/Vlan100 in up ! interface Bridge0 rename Home description LAN inherit FastEthernet0/Vlan1 security-level private ip address 192.168.1.254 255.255.255.0 ip dhcp client dns-routes ip dhcp client name-servers igmp downstream up ! interface PPPoE0 description INTERNET no ipv6cp lcp echo 30 3 ipcp default-route ipcp name-servers ipcp dns-routes no ccp security-level public authentication identity *** authentication password ns3 *** ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1492 ip global 1000 ip tcp adjust-mss pmtu connect via ISP up ! ip route 10.1.0.0 255.255.0.0 10.1.144.1 FastEthernet0/Vlan30 auto ip route AA.AA.124.0 255.255.252.0 AA.AA.124.126 FastEthernet0/Vlan100 auto ip route 224.0.0.0 240.0.0.0 ISP auto ip route 10.102.0.0 255.255.0.0 10.1.144.1 FastEthernet0/Vlan30 auto ip route BB.BB.114.27 AA.AA.124.126 FastEthernet0/Vlan100 auto ip route 10.202.0.0 255.255.0.0 10.1.144.1 FastEthernet0/Vlan30 auto ip route default AA.AA.124.126 FastEthernet0/Vlan100 ip route default 10.1.144.1 FastEthernet0/Vlan30 ip dhcp pool _WEBADMIN enable ! ip dhcp pool _WEBADMIN_GUEST_AP enable ! ip name-server AA.AA.124.1 "" on FastEthernet0/Vlan100 ip name-server AA.AA.124.124 "" on FastEthernet0/Vlan100 ip name-server 10.1.128.11 "" on FastEthernet0/Vlan30 ip name-server 10.1.128.12 "" on FastEthernet0/Vlan30 ip http security-level private ip http lockout-policy 5 15 3 ip nat Home ip nat vpn ip telnet security-level private lockout-policy 5 15 3 ! ppe software vpn-server interface Home pool-range 192.168.1.190 10 mppe 128 lcp echo 30 3 ! service dhcp service dns-proxy service igmp-proxy service http service telnet service ntp-client service vpn-server ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 18 октября, 2017 · Жалоба Вообще VPN-пул при включении трансляции (ip nat vpn) натится во все интерфейсы с признаком security-level public, так как сам висит на Home и наследует security-level private. По логике натить должен везде. Единственное, что не понятно, зачем ip route default AA.AA.124.126 FastEthernet0/Vlan100 ip route default 10.1.144.1 FastEthernet0/Vlan30 если вы маршруты руками указали. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 19 октября, 2017 · Жалоба 9 часов назад, DRiVen сказал: По логике натить должен везде. Понятно. Тогда видимо файрвол режет доступ. 9 часов назад, DRiVen сказал: Единственное, что не понятно, зачем Хм... Проглядел. Видимо при добавлении интерфейса из GUI шлюз на автомате указал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 20 октября, 2017 · Жалоба 23 часа назад, alibek сказал: Тогда видимо файрвол режет доступ. Похоже на то. Но никак не пойму, как эта шайтан-машина работает. Есть такая статья: https://help.keenetic.net/hc/ru/articles/115000045845 Судя по ней, ключевое — это навесить ACL на исходящий трафик (interface ISP ip access-group _WEBADMIN_ISP out). Но никак не могу понять, куда нужно навешивать ACL в моем случае. На vpn-server? Или на Home? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 20 октября, 2017 · Жалоба На Home. Здесь более полно описано. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 20 октября, 2017 · Жалоба Что-то не помогает. ... access-list VPN_ANY permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 permit udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 ... interface Bridge0 .... ip access-group VPN_ANY in ip access-group VPN_ANY out ... Но доступа к ресурсам за NAT не появилось. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 20 октября, 2017 · Жалоба Не так. ACL на исходящий трафик, сиречь на принимающий его (трафик) интерфейс роутера, в случае с private-level - запрет на исходящий (от LAN), а с public - на входящий (к LAN или самому роутеру). В вашем случае это FastEthernet0/Vlan30, но почему-то мне кажется, что дело не в этом. P.S>Если не решится проблема, есть на работе похожая железка, в понедельник попробую смоделировать ситуацию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 20 октября, 2017 · Жалоба VPN-сервер висит на интерфейсе FastEthernet0/Vlan100, ACL пробовал вешать также и на него, равно как менять security-level, пока что ничего не помогает. Сейчас у меня такая конфигурация: Спойлер ! $$$ Model: ZyXEL Keenetic Lite III ! $$$ Version: 2.06.1 system set net.ipv4.ip_forward 1 set net.ipv4.tcp_fin_timeout 30 set net.ipv4.tcp_keepalive_time 120 set net.ipv4.netfilter.ip_conntrack_tcp_timeout_established 1200 set net.ipv4.netfilter.ip_conntrack_max 16384 set vm.swappiness 100 clock timezone Europe/Moscow clock date 20 Oct 2017 13:40:47 domainname COMPANY hostname GATEWAY ! ntp server 0.pool.ntp.org ntp server 1.pool.ntp.org ntp server 2.pool.ntp.org ntp server 3.pool.ntp.org access-list _WEBADMIN_FastEthernet0/Vlan100 permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 permit tcp AA.AA.127.0 255.255.255.0 0.0.0.0 0.0.0.0 port gt 65000 ! access-list VPN_ANY permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 permit udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 ! isolate-private user admin password md5 *** password nt *** tag cli tag http ! user vpn1 password md5 *** password nt *** tag vpn ! user vpn2 password md5 *** password nt *** tag vpn ! interface FastEthernet0 up ! interface FastEthernet0/1 rename 1 switchport mode access switchport access vlan 1 up ! interface FastEthernet0/2 rename 2 switchport mode access switchport access vlan 1 up ! interface FastEthernet0/3 rename 3 switchport mode access switchport access vlan 1 up ! interface FastEthernet0/4 rename 4 switchport mode trunk switchport trunk vlan 100 switchport trunk vlan 30 up ! interface FastEthernet0/Vlan1 description "Home VLAN" security-level private ip dhcp client dns-routes ip dhcp client name-servers up ! interface FastEthernet0/Vlan2 rename ISP description WAN mac address factory wan security-level public ip dhcp client hostname Keenetic_Lite ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1500 igmp upstream up ! interface FastEthernet0/0 rename 0 role inet for ISP switchport mode access switchport access vlan 2 up ! interface FastEthernet0/Vlan30 description SERVICE security-level public ip address 10.1.144.3 255.255.255.128 ip dhcp client hostname Keenetic_Lite ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1500 up ! interface FastEthernet0/Vlan100 description STATIC security-level public ip address AA.AA.124.80 255.255.255.128 ip dhcp client hostname Keenetic_Lite ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1500 ip access-group _WEBADMIN_FastEthernet0/Vlan100 in up ! interface Bridge0 rename Home description LAN inherit FastEthernet0/Vlan1 security-level private ip address 192.168.1.254 255.255.255.0 ip dhcp client dns-routes ip dhcp client name-servers ip access-group VPN_ANY in ip access-group VPN_ANY out igmp downstream up ! interface PPPoE0 description INTERNET no ipv6cp lcp echo 30 3 ipcp default-route ipcp name-servers ipcp dns-routes no ccp security-level public authentication identity *** authentication password ns3 *** ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1492 ip global 1000 ip tcp adjust-mss pmtu connect via ISP up ! ip route 10.1.0.0 255.255.0.0 10.1.144.1 FastEthernet0/Vlan30 auto ip route AA.AA.124.0 255.255.252.0 AA.AA.124.126 FastEthernet0/Vlan100 auto ip route 224.0.0.0 240.0.0.0 ISP auto ip route 10.102.0.0 255.255.0.0 10.1.144.1 FastEthernet0/Vlan30 auto ip route 83.239.114.27 AA.AA.124.126 FastEthernet0/Vlan100 auto ip route 10.202.0.0 255.255.0.0 10.1.144.1 FastEthernet0/Vlan30 auto ip route default AA.AA.124.126 FastEthernet0/Vlan100 ip route default 10.1.144.1 FastEthernet0/Vlan30 ip dhcp pool _WEBADMIN enable ! ip dhcp pool _WEBADMIN_GUEST_AP enable ! ip name-server AA.AA.124.1 "" on FastEthernet0/Vlan100 ip name-server AA.AA.124.124 "" on FastEthernet0/Vlan100 ip name-server 10.1.128.11 company.local on FastEthernet0/Vlan30 ip name-server 10.1.128.12 company.local on FastEthernet0/Vlan30 ip http security-level private ip http lockout-policy 5 15 3 ip nat Home ip nat vpn ip telnet security-level private lockout-policy 5 15 3 ! ppe software vpn-server interface Home pool-range 192.168.0.190 10 static-ip vpn1 192.168.0.191 static-ip vpn2 192.168.0.192 mppe 128 lcp echo 30 3 ! service dhcp service dns-proxy service igmp-proxy service http service telnet service ntp-client service vpn-server ! ТП Zyxel говорит, что должно работать, но не работает. ACL VPN_ANY я пробовал вешать на все интерфейсы, не помогло. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 21 октября, 2017 · Жалоба Хм... Тут попутно еще одна странная проблема возникла. VPN-сервер работает на Кинетике, на постоянном адресе. ПК подключен к интернету через маршрутизатор, маршрутизатор Eltex, подключение PPPoE, IP-адрес получает из пула AA.AA.127.0/24. Подключение VPN устанавливается успешно, все работает (кроме NAT на внутренние ресурсы). Подключаю ПК в другое место, также через маршрутизатор (только теперь Zyxel), подключение точно такое же — PPPoE, адреса из пула AA.AA.127.0/24. Но теперь VPN не подключается, ошибка 619. Обычно эта ошибка бывает из-за неправильной настройки клиента, сервера или файрвола сервера, но в моем случае все осталось без изменений. Единственное что поменялось — это клиентский маршрутизатор. Что он такого может блокировать, что не работает VPN? Мне на ум приходит только GRE, но в Кинетике включен ALG PPTP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 21 октября, 2017 · Жалоба Схему подключения не понял. КМК на кеентрике поднят pptp-сервер, сам кеерник цепляется по ппое и получает реальник, к нему цепляются по рртр, так ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 21 октября, 2017 · Жалоба Есть офисный Кинетик, на нем три интерфейса (2 статичных, 1 PPPoE), также на нем работает VPN-сервер (на статичном интерфейсе). Есть домашний Кинетик с PPPoE (публичный IP), за которым находится ПК с VPN-подключением. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 31 октября, 2017 · Жалоба Может кому пригодиться. Чтобы все заработало, добавил такую конфигурацию: access-list VPN_ANY permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 exit ! interface FastEthernet0/Vlan30 ip access-group VPN_ANY out exit ! interface FastEthernet0/Vlan100 ip access-group VPN_ANY out exit Для permit ip пришлось обновиться, на старых версиях можно указывать только icmp/tcp/udp. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MarichkaV Опубликовано 1 ноября, 2017 · Жалоба спасибочки Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dmitry12345 Опубликовано 24 ноября, 2020 (изменено) · Жалоба В 31.10.2017 в 10:57, alibek сказал: Может кому пригодиться. Чтобы все заработало, добавил такую конфигурацию: access-list VPN_ANY permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 exit ! interface FastEthernet0/Vlan30 ip access-group VPN_ANY out exit ! interface FastEthernet0/Vlan100 ip access-group VPN_ANY out exit Для permit ip пришлось обновиться, на старых версиях можно указывать только icmp/tcp/udp. Чувак, ну ты красава!!!! У меня была похлеще ситуация, нужно было с VPN туннеля до одного офиса (интернет центр киннектик ULTRA) и меть доступ в локалку 2х других офисов тоже на роутерах киннектик ULTRA (т.е все локальные хосты спокойно имеют туда доступ, но через туннель (VPN) - только в свой). После 2х недельной попытки разобраться как же это делается? уже начал отчаиваться, что ничего не получится! И пришел к выводу, что для домашних целей = все на зюхах хорошо! но в профессиональных - сплошные костыли. 1. С чем столкнулся, что правила на исходящий трафик делаются через консоль или http://192.168.1.1/a (а первые попытки делал через веб и следовательно нулевой результат + потеря времени и нервов). 2. Не понятно было какому же интерфейсу давать данное правило? (приходилось перебирать все, а их много). 3. Общался с поддержкой и как после выяснялось, я смог получить только часть нужной команды.... но благо Автору темы (alibek) - мозаика сошлась! Вот мой вариант решения: interface PPTP1 ip access-group _WEBADMIN_PPTP1 out access-list _WEBADMIN_PPTP1 permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 exit system config-save Толстым отметил интерфейс, так что у кого-то это может быть LAN порт (FastEthernet0/Vlan30) , WAN порт (ISP), VPN (PPTP0 или L2TP0...). в 3й и 1й команде ip означает = доступ по всем протоколам (TCP/UDP/ICMP). Изменено 24 ноября, 2020 пользователем Dmitry12345 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jump19 Опубликовано 2 апреля, 2021 · Жалоба Приветствую всех! Проблема схожая Есть провайдер. Выдает адреса типа 10.139.66.0 Интернет рррое На кинетике есть впн сервер. При подключении к нему нужно иметь доступ в локальную сеть провайдера 10.139.66.0. Способ выше не получается реализоать. Либо не верно конф пишу, помогите, кто чем сможет ) на асусе работает из коробки без проблем Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...