ga6iem Опубликовано 30 августа, 2012 · Жалоба Классическая ситуация. Два удаленных офиса и сервак в центре. pptpclient1,2 - Роутеры с OpenWRT pptpserver - CentOS 5.6 ---- IP MAP: lan1 - 192.168.1.0/24 lan2 - 192.168.2.0/24 pptpserver - 10.2.2.1 pptpclient1 - 10.2.2.151 pptpclient2 - 10.2.2.152 --- Схема: (lan1->pptpclient1->)pptpserver->(pptpclient2->lan2) Сейчас VPN поднят. Из локалок lan1,2 пинги проходят в 10.2.2.0/24 Нужно ходить из lan1 в lan2 и наоборот. Как сделать? Понимаю что копать в сторону IPTABLES но чую застряну в них. Ну помогите кто сталкивался :beer: Да, конфиг фаерволов на клиентских рутерах: config 'defaults' option 'syn_flood' '1' option 'input' 'ACCEPT' option 'output' 'ACCEPT' option 'forward' 'REJECT' option 'drop_invalid' '1' config 'zone' option 'name' 'lan' option 'input' 'ACCEPT' option 'output' 'ACCEPT' option 'forward' 'REJECT' option 'network' 'lan' config 'zone' option 'name' 'wan' option 'input' 'REJECT' option 'output' 'ACCEPT' option 'forward' 'REJECT' option 'masq' '1' option 'mtu_fix' '1' option 'network' 'wan' config 'forwarding' option 'src' 'lan' option 'dest' 'wan' config 'zone' option 'name' 'wimax' option 'input' 'REJECT' option 'output' 'ACCEPT' option 'forward' 'REJECT' option 'masq' '1' option 'mtu_fix' '1' option 'network' 'wimax' config 'forwarding' option 'src' 'lan' option 'dest' 'wimax' config 'rule' option 'src' 'wan' option 'proto' 'udp' option 'dest_port' '68' option 'target' 'ACCEPT' option 'family' 'ipv4' config 'rule' option 'src' 'wan' option 'proto' 'icmp' option 'icmp_type' 'echo-request' option 'target' 'ACCEPT' config 'include' option 'path' '/etc/firewall.user' config 'zone' option 'input' 'ACCEPT' option 'output' 'ACCEPT' option 'name' 'vpn' option 'forward' 'ACCEPT' option 'network' 'vpn' option 'masq' '1' option 'mtu_fix' '1' config 'forwarding' option 'dest' 'lan' option 'src' 'vpn' config 'forwarding' option 'dest' 'wan' option 'src' 'vpn' config 'forwarding' option 'dest' 'vpn' option 'src' 'lan' config 'forwarding' option 'dest' 'vpn' option 'src' 'wan' config 'rule' option 'target' 'ACCEPT' config 'rule' option 'target' 'ACCEPT' option '_name' 'vpn_rules' option 'src' 'vpn' option 'proto' 'all' config 'rule' option 'target' 'ACCEPT' config 'rule' option 'target' 'ACCEPT' option '_name' 'vpnin_rules' option 'src' 'lan' option 'dest' 'vpn' option 'proto' 'all' Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 30 августа, 2012 · Жалоба и причём тут фаервол? Вам маршрутизацию нужно настроить на всех трёх узлах: пропишите в какую сеть через какой шлюз=роутер ходить. По краям будет 1(2) маршрута, в центре 2(3) маршрута. (число в скобках подразумевает автогенерируемый для интерфейса маршрут, нужно убедится что он на месте и такой как ожидалось) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 31 августа, 2012 · Жалоба Проще всего купить 3 микротика, например таких - Mikrotik RB951-2n - стоят 1400р. Настроите на одном L2TP сервер, на других клиенты. Запустите OSPF и установите раздачу по DHCP адресов в каждом офисе по отдельным подсетям. Далее все маршруты пропишутся автоматом. Так же можно сделать одинаковую подсеть для всех с доступом по L2. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 31 августа, 2012 · Жалоба У человека уже самое сложное настроено, ему микротик нах не нужен, ему маршрутизацию прописать, и может правила в фаерволах подправить. В фаерволах я бы поставил "разрешить всё" и потом настраивал маршрутизацию, когда она заработает стал бы смотреть что запретить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
eill Опубликовано 1 сентября, 2012 · Жалоба Запустите OSPF тогда кто уже мешает на опенврт настроить ospf? Зря запутываете человека, имхо. Вместо того, чтобы объяснить ему, где ошибка, вы предлагаете ему совершенно другое. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mukca Опубликовано 2 сентября, 2012 · Жалоба ga6iem на первом pptp клиенте маршрут на pptp сервер для локалки второго клиента ip route 192.168.2.0/24 gw 10.2.2.1 на втором клиенте ip route 192.168.1.0/24 gw 10.2.2.1 на сервере ip route 192.168.2.0/24 gw 10.2.2.152 ip route 192.168.1.0/24 gw 10.2.2.151 как то так Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lomal Опубликовано 12 ноября, 2012 · Жалоба Добрый день! У меня есть похожий вопрос. Есть двое пользователей домашнего интернета, провайдеры разные (обозначу ISP1 и ISP2). Требуется организовать между ними VPN через интернет. User1 подключен к интернет через VPN. IP-адрес "белый" и статический. User2 подключен к интернет через VPN. IP-адрес "серый" и динамический. Помимо этого, User2 использует дома маршрутизатор, который выдаёт его компьютеру внутренний IP-адрес по DHCP. *** Здесь сразу замечу, что мои знания в маршрутизации приблизительно равны нулю. *** На компьютере User1 созданы "входящие подключения" (RAS-сервер). Заведён новый логин и пароль. На компьютере User2 создано VPN-соединение, в котором указаны внешний IP-адрес User1, логин и пароль. Собственно вопрос. Когда User2 подключается к User1 через VPN, у User2 прерывается связь с интернет. То бишь доступ к нему есть, но трафик заруливается куда-то не туда. Если разорвать VPN между пользователями, интернет вновь становится доступным. Почему так происходит, и как сделать, чтобы интернет у User2 оставался доступен? P. S. Пробовал во "входящий подключениях" (RAS-сервер) указать назначаемый клиенту IP-адрес явным образом из диапазонов 192.168.*.*, 172.16.*.* и 10.*.*.*, не помогло. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 12 ноября, 2012 (изменено) · Жалоба В свойствах впн подключения у юзера2 отключить добавление дефолтного маршрута Изменено 13 ноября, 2012 пользователем pppoetest Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lomal Опубликовано 13 ноября, 2012 (изменено) · Жалоба В свойствах впн подключения у юзера2 отключить добавление дефолтного маршрута Спасибо за ответ. Почитал тут, вроде разобрался. Буду пробовать. Добавлено: Благодарю ещё раз, помогло. Изменено 14 ноября, 2012 пользователем lomal Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lomal Опубликовано 28 октября, 2013 · Жалоба В перовом офисе есть проводной интернет с серым динамическим IP. Во втором офисе есть беспроводной интернет с серым динамическим IP (3G-WIFI-роутер: к нему подключена IP-камера и воткнут 3G-модем). Необходимо, находясь в первом офисе, 2-3 раза в день подключаться к IP-камере второго офиса. Оборудование: - роутер D-link DIR-620 - IP-камера ID002A Как достучаться до оборудования, находящегося за серым адресом? Не пользуясь третьими серверами и платными сервисами. Читал про "hole punching" но для этого требуется иметь компьютеры с обеих сторон. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 28 октября, 2013 · Жалоба lomal openwrt+teredo Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lomal Опубликовано 28 октября, 2013 · Жалоба Не осилить. Даже не понял, что делать с этой прошивкой и протоколом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 28 октября, 2013 · Жалоба lomal Ну тогда либо платить кому-то за настройку, либо ставить что-то x86-ое и туда hamachi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lomal Опубликовано 28 октября, 2013 · Жалоба Спасибо, буду дальше копать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 28 октября, 2013 · Жалоба когда разберётесь c openwrt+teredo, скиньте сюда howto, думаю многим интересна пошагавая инструкция как сделать удалёнку через NAT нахаляву(без vpn-сервера) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...