Перейти к содержимому
Калькуляторы

Доступ к локальной сети PPtP между edgerouter'ами

Добрый день!

Подскажите, было настроено по инструкции:
https://help.ubnt.com/hc/en-us/articles/205220840-EdgeRouter-PPTP-VPN-Server

 

У одного Edgerouter - lan 192.168.1.1, у другого 192.168.2.1. Шлюзы в интернет у каждого свои. Один из них в роли PPTP сервера (выдает VPN клиентам 192.168.9.XXX) , другой в роли клиента, линк поднялся, ни ничего ни куда не пингуется. Интересуют доступы в локальную сеть во все стороны. (т.е. чтобы клиент с адресом 192.168.2.10 попал на 192.168.1.100)

 

Спасибо заранее!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 минут назад, Ivan_83 сказал:

nat тебе в помощь.

Спасибо за наводку, может есть какая-либо инструкция или что-то вроде этого для "зеленых", не совсем врубаюсь что именно надо сделать.

 

У zyxel есть подобного вида инструкция - https://help.keenetic.net/hc/ru/articles/213967789-Объединение-двух-локальных-сетей-при-помощи-интернет-центров-Keenetic-используя-Сервер-PPTP

 

У ubiquiti не вижу, в том числе и на буржуйском... 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

http://netlab.dhis.org/wiki/ru:software:freebsd:tcpproxy_on_pf

мне тут умные люди сказали что это называется binat :)

 

Но в твоём случае наверное проще, тебе нужно только нат в локалку, чтобы по локалке ты ходил от адреса впн сервера, до него то наверное пинги работают из всех хостов локалки.

Если нет - будешь писать маршруты на роутерах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

18 hours ago, Ivan_83 said:

nat тебе в помощь.

Какой NAT ? и как он ему поможет в его задаче ? Или это такая шутка юмора ? 

 

Здесь идёт речь об избитом и тривиальном вопросе. И ответ на него тоже архи найтривиальнийший. И как всё в армии ответ на этот вопрос состоит из трёх частей. Первая часть это маршрутизация, вторая это правила фаервола, а третья это сам протокол VPN который используется для связи между этими удалёнными подсетями .

Начнём как это не странно с маршрутизации. Для того чтобы существовала связь между какими либо отдельными подсетями в протоколе IP , как минимум требуется маршрутизация между ними. А в нашем случае, ни один из этих двух маршрутизаторов не имеет ни малейшего понятия об удалённой подсети LAN. Для того чтобы решить эту проблему необходимо добавить нужный маршрут в таблицы каждого из edgerouter'ов. Это можно сделать как при помощи статической маршрутизации либо же при помощи одного из протоколов динамической маршрутизации, например при помощи OSPF.

Как уже говорилось, вторая часть, это фаервол. Для того чтобы существовала связь между удалёнными подсетями между которыми существуют брандмауэры необходимо чтобы в этих самых брандмауэрах присутствовали подходящие правила разрешающие связь между этими подсетями.

Ну и последняя часть это то что об PPTP надо забыть как об ужасном сне. И это не только из за того что он дырявый как решето, и не только из за того что он кривой и косой как колхозный забор, и даже не только из за того что если он проходит по дороге через NAT, то ничего хорошего уже не будет на выходе, а вообще из за его характерных особенностей из за которых он не используется уже многие годы.

Приемлемый протокол VPN для данной задачи будет OpenVPN, который худо бедно но присутствует в этих  edgerouter'ах. 

Пример простой и пошагово разжёванной конфигурации похожего незатейливого сценария можно найти тут:

https://help.ubnt.com/hc/en-us/articles/204949694-EdgeRouter-OpenVPN-Site-to-Site

edge.thumb.jpg.1943d258e638c487faca8c7906050c61.jpg 

Изменено пользователем dvb2000

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, dvb2000 сказал:

Какой NAT ? и как он ему поможет в его задаче ? Или это такая шутка юмора ? 

Вот так и поможет.

Не обязательно чтобы была маршрутизация из локалки куда он конектится до адресов впн клиентов.

 

Я как то пролезал в сетку до нужных мне сервисов, при этом доступ у меня был до тазика стоящего что называется сбоку, те почти рабочей станции, а мне требовался доступ ко внутреннему сервису который был на ip:port. При этом у "рабочей станции" был белый ипв4. Вот я и настроил двойной нат с редиректом чтобы вытащить для себя ip:port того сервиса через свою "рабочую станцию".

 

Автору проще, у него практически классическая схема выхода через впн в инет, только вместо инета у него локалка. И решение очевидное - нат на впн сервере, чтобы все клиенты ходили в локалке с адресом впн сервера, раз он у него не дефолт гейтвей для тех к кому надо конектится впн клиентом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

15 часов назад, dvb2000 сказал:

Какой NAT ? и как он ему поможет в его задаче ? Или это такая шутка юмора ? 

 

Здесь идёт речь об избитом и тривиальном вопросе. И ответ на него тоже архи найтривиальнийший. И как всё в армии ответ на этот вопрос состоит из трёх частей. Первая часть это маршрутизация, вторая это правила фаервола, а третья это сам протокол VPN который используется для связи между этими удалёнными подсетями .

Начнём как это не странно с маршрутизации. Для того чтобы существовала связь между какими либо отдельными подсетями в протоколе IP , как минимум требуется маршрутизация между ними. А в нашем случае, ни один из этих двух маршрутизаторов не имеет ни малейшего понятия об удалённой подсети LAN. Для того чтобы решить эту проблему необходимо добавить нужный маршрут в таблицы каждого из edgerouter'ов. Это можно сделать как при помощи статической маршрутизации либо же при помощи одного из протоколов динамической маршрутизации, например при помощи OSPF.

Как уже говорилось, вторая часть, это фаервол. Для того чтобы существовала связь между удалёнными подсетями между которыми существуют брандмауэры необходимо чтобы в этих самых брандмауэрах присутствовали подходящие правила разрешающие связь между этими подсетями.

Ну и последняя часть это то что об PPTP надо забыть как об ужасном сне. И это не только из за того что он дырявый как решето, и не только из за того что он кривой и косой как колхозный забор, и даже не только из за того что если он проходит по дороге через NAT, то ничего хорошего уже не будет на выходе, а вообще из за его характерных особенностей из за которых он не используется уже многие годы.

Приемлемый протокол VPN для данной задачи будет OpenVPN, который худо бедно но присутствует в этих  edgerouter'ах. 

Пример простой и пошагово разжёванной конфигурации похожего незатейливого сценария можно найти тут:

https://help.ubnt.com/hc/en-us/articles/204949694-EdgeRouter-OpenVPN-Site-to-Site

edge.thumb.jpg.1943d258e638c487faca8c7906050c61.jpg 

 

Site-to-Site, к сожалению, не подойдет - с одной стороны DHCP с белым IP, и с другой стороны PPPoE с белым динамическим, + клентов будет больше двух. Но тем не менее, спасибо за наводку.

Изменено пользователем Neexon

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 hours ago, Neexon said:

Site-to-Site, к сожалению, не подойдет - с одной стороны DHCP с белым IP, и с другой стороны PPPoE с белым динамическим, + клентов будет больше двух. Но тем не менее, спасибо за наводку.

 

Это и есть классический сценарий для использования схемы Site-to-Site. Для этого достаточно даже только одного белого IP с одной из сторон. И совершенно не важно как реализован WAN с каждой из сторон. Это может быть и DHCP , и PPPoE, и L2TP и всё остальное, главное чтобы с одной из сторон был реальный адрес видный из интернета. А клиентов может быть в этом случае не только больше двух, но и больше двух тысяч, ведь речь идёт о маршрутизации через туннель VPN между целыми подсетями которые могут включать в себя многие тысячи адресов с каждой стороны. Более того, удалённых сайтов тоже может быть сколько угодно и для них всех точкой маршрутизации является VPN Server.

И речь здесь идёт не о какой-то сложной задаче, а о материале для начинающих в области сетей.  

 

site to site.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

19 hours ago, Ivan_83 said:

Вот так и поможет.

Не обязательно чтобы была маршрутизация из локалки куда он конектится до адресов впн клиентов.

 

Я как то пролезал в сетку до нужных мне сервисов, при этом доступ у меня был до тазика стоящего что называется сбоку, те почти рабочей станции, а мне требовался доступ ко внутреннему сервису который был на ip:port. При этом у "рабочей станции" был белый ипв4. Вот я и настроил двойной нат с редиректом чтобы вытащить для себя ip:port того сервиса через свою "рабочую станцию".

 

Автору проще, у него практически классическая схема выхода через впн в инет, только вместо инета у него локалка. И решение очевидное - нат на впн сервере, чтобы все клиенты ходили в локалке с адресом впн сервера, раз он у него не дефолт гейтвей для тех к кому надо конектится впн клиентом.

Так даже не стоит шутить, а то ещё кто не дай бог воспримет это всерьёз.

Речь здесь шла об организации доступа всей LAN подсети с приватными адресами в другую такую же и с обратной стороны в обратную сторону. Во-первых, в каждой из этих подсетей находятся не по одному клиенту а по целой подсети клиентов и ни какой Port Forwarding здесь не поможет. Кроме того речь идёт о сервисах вроде SMB, в случае которых PAT не только не уместен, но и не приемлем. И в добавок, ни кто не станет пускать через интернет LAN трафик в открытую без туннеля, ну конечно кроме того случая если он хочет поделится информацией этих клиентов со всем миром.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

56 минут назад, dvb2000 сказал:

Это и есть классический сценарий для использования схемы Site-to-Site. Для этого достаточно даже только одного белого IP с одной из сторон. И совершенно не важно как реализован WAN с каждой из сторон. Это может быть и DHCP , и PPPoE, и L2TP и всё остальное, главное чтобы с одной из сторон был реальный адрес видный из интернета. А клиентов может быть в этом случае не только больше двух, но и больше двух тысяч, ведь речь идёт о маршрутизации через туннель VPN между целыми подсетями которые могут включать в себя многие тысячи адресов с каждой стороны. Более того, удалённых сайтов тоже может быть сколько угодно и для них всех точкой маршрутизации является VPN Server.

И речь здесь идёт не о какой-то сложной задаче, а о материале для начинающих в области сетей.  

 

site to site.jpg

Прошу прощения за назойливость, правильно ли я понял, что в режиме site-to-site именно КЛИЕНТОВ VPN может быть любое количество, и единственное условие только VPN сервер с белым IP? Если это так, можно ли понять как именно настраивать, ибо, например:

set interfaces openvpn vtun0 remote-host 192.0.2.1
set interfaces openvpn vtun0 local-host 203.0.113.1

в данной документации все приводится к варианту: один сервер - один клиент.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

есть мнение (не моё), что для НАТящих в туннелях существует отдельный котел в аду. Чаще всего это делают адепты микротика, начитавшись глупых статей в инете и не понимая смысла. Что мешает прописать статику или настроить ospf? это решит очень много проблем. А в некоторых случаях(типа голоса) - NAT вообще зло.

@Neexon 

зачем тебе куча VPN? делай VPN site-to-site, это один туннель. Всё.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

11 минут назад, vvertexx сказал:

есть мнение (не моё), что для НАТящих в туннелях существует отдельный котел в аду. Чаще всего это делают адепты микротика, начитавшись глупых статей в инете и не понимая смысла. Что мешает прописать статику или настроить ospf? это решит очень много проблем. А в некоторых случаях(типа голоса) - NAT вообще зло.

@Neexon 

зачем тебе куча VPN? делай VPN site-to-site, это один туннель. Всё.

Видимо я не совсем верно описал суть, либо что-то не понял. Надо объединить по меньшей мере 3 удаленных офиса, наверное надо что-то вроде multisite-to-site ?

 

Либо, собственно сам OpenVpn сервер https://help.ubnt.com/hc/en-us/articles/115015971688-EdgeRouter-OpenVPN-Server и остальные роутеры клиентами....

Изменено пользователем Neexon

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 hour ago, Neexon said:

Прошу прощения за назойливость, правильно ли я понял, что в режиме site-to-site именно КЛИЕНТОВ VPN может быть любое количество, и единственное условие только VPN сервер с белым IP? Если это так, можно ли понять как именно настраивать, ибо, например:


set interfaces openvpn vtun0 remote-host 192.0.2.1
set interfaces openvpn vtun0 local-host 203.0.113.1

в данной документации все приводится к варианту: один сервер - один клиент.

Всё правильно. В протоколе OpenVPN можно использовать конфигурацию в которой существует один центральный офис, в котором установлен OpenVPN Server и множество филиалов подключающихся к нему. Каждый филиал, это OpenVPN Client со своей подсетью. Из каждого сетевого устройства в каждом филиале можно связываться с любым сетевым устройством в любом из филиалов или с сетевых устройств находящемся в центральном офисе. Конечно если это разрешено в правилах фаерволов. всё это достигается при помощи подходящих настроек OpenVPN сервера, в котором для каждого клиента существует уникальная конфигурация и  в которой в частности присутствует волшебная команда iroute, после которой указывается подсеть клиента.

Всё это азы из области сетей связи. Так сказать на уровне детсада. И будет очень кстати с ними ознакомится всем кто интересуется как же эти сети вообще функционируют. Информацию для начинающих можно прочесть например здесь:

https://community.openvpn.net/openvpn/wiki/RoutedLans

 

А схематично это выглядит так. Только вот клиентов может быть не только два как на схеме, но и даже... три!

routed_lans.jpg

Изменено пользователем dvb2000

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Слышал, что и 4 подымается))

 

Вот только есть нюанс - опен впн работает в userspace

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 hours ago, myth said:

Вот только есть нюанс - опен впн работает в userspace

Этот нюанс не вносит какой либо проблематичности с которой не возможно было бы справится. Системы использующие OpenVPN функционируют на протяжении многих лет без каких либо проблем если они правильно спроектированы и построены. Больше того, OpenVPN использует hardware accelerated encryption при помощи работы с расширением системы команд AES присутствующем в современных процессорах Интел. Конечно речь не об SOHO мыльницах типа  edgerouter или микротиктак, а об embedded systems, на которые можно установить тот же PFSense например и получить систему которая может работать на уровне пригодном для Enterprise сектора. У меня такие системы работают уже больше десятка лет с гигабитными туннелями и с десятками удалённых сайтов со своими подсетями которые подключены к центру, в том числе используя IPv6 и Dual Stack. 

А вот по поводу из за чего было выбрано использовать пространство  userspace для OpenVPN есть простое объяснение, которое было опубликовано товарищем Yonan ещё в 2004 году:

https://openvpn.net/archive/openvpn-users/2004-11/msg00548.html

 https://openvpn.net/papers/BLUG-talk/index.html

 

Изменено пользователем dvb2000

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

14 часов назад, Neexon сказал:

Видимо я не совсем верно описал суть, либо что-то не понял. Надо объединить по меньшей мере 3 удаленных офиса, наверное надо что-то вроде multisite-to-site ?

 

Либо, собственно сам OpenVpn сервер https://help.ubnt.com/hc/en-us/articles/115015971688-EdgeRouter-OpenVPN-Server и остальные роутеры клиентами....

Ещё можно попробовать L2TP IPsec.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

22 minutes ago, Totoshka said:

Ещё можно попробовать L2TP IPsec.

Можно конечно, но лучше этого не делать из-за множества причин, одна из которых например "работа" протокола L2TP с клиентами находящимися за NATом провайдера. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

О том была и речь. Устройство в центре должно быть мощным

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, myth сказал:

О том была и речь. Устройство в центре должно быть мощным

 

6 часов назад, dvb2000 сказал:

Конечно речь не об SOHO мыльницах типа  edgerouter или микротиктак, а об embedded systems, на которые можно установить тот же PFSense например и получить систему которая может работать на уровне пригодном для Enterprise сектора. У меня такие системы работают уже больше десятка лет с гигабитными туннелями и с десятками удалённых сайтов со своими подсетями которые подключены к центру, в том числе используя IPv6 и Dual Stack.

Надеюсь, на 3 удаленных офиса хватит EdgeRouter X SFP?..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 минут назад, myth сказал:

На 3 хватит

Это радует, в трех местах будут 3 одинаковых роутера, 1 сервер и 2 клиента, и весь локальных трафик должен ходить во все стороны, как я понял, задача реальная, печаль в том что очень "зеленый" в этих делах... 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Осталось научиться не использовать 192.168.0(1). в локальных сетях любого офиса, а хотябы случайным образом брать из 10.x.y.0/24.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, ShyLion сказал:

Осталось научиться не использовать 192.168.0(1). в локальных сетях любого офиса, а хотябы случайным образом брать из 10.x.y.0/24.

Просветите, если не затруднит, чем это будет лучше

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

13 hours ago, Neexon said:

Просветите, если не затруднит, чем это будет лучше

Тем что когда захочется внезапно офисы соеденить сетью, не понадобиться производить перенумерацию сетей или прибегать к извращениям в виде НАТ.

Даже если случится чудо и у вас не будет конфликта адресов, иметь общую подсеть в географически отдаленных точках (посредством EoIP, L2TPv3 pseudowire или арендованых L2VPN) это отдельный изощренный способ поиметь гемора в самый неподходящий момент во всей сети целиком.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.