Не пингуется роутер по VPN

@pEntity · Регистрация: 12.12.2012

Author24 — интернет-сервис помощи студентам

Фирма А.

Стоит маршрутизатор. Он раздает DHCP. Я поставил роутер, чисто для раздачи WIFI. Выключил WAN, DHCP, поставил ему IP подсети маршрутизатора и патчкорд в LAN порт. Всё, вифи работает, я получаю подсеть фирмы.

Фирма Б.

Поднял VPN по внешнему IP, могу всех и вся пинговать, но роутер тот не могу. Мне нужно как-то в роутере сделать разрешение ?

@insect_87 · 17.11.2017, 12:55

между чем и чем поднят VPN?
какая внутрення адресация, какие туннельные адреса?
какой именно роутер, по какому адресу и с какого адреса не видно?

@pEntity · 17.11.2017, 13:50 **[ТС]**

VPN поднят между маршрутизаторами в качестве которых выступает kerio. Соединены они по внешнему ипу.

Тунель то работает. Всё туда и обратно пингуется. Проблема только в ипе доп. устройства, а именно роутера, который тупо для раздачи wifi. На сколько я знаю, просто в нем как-то нужно разрешить себя пинговать.

@insect_87 · 17.11.2017, 14:58

напишите с какого адреса какой пингуете?
и напишите внутренний адрес керио, с которым роутер соединен.
если клиент, который пытается подключиться к роутеру, и сам wi-fi роутер в разных подсетях, то понятно, что роутер не знает куда слать пакеты обратно (!)
в общем нужны адреса туннельные и локальные.

Сообщение от insect_87

какая внутрення адресация, какие туннельные адреса?
по какому адресу и с какого адреса не видно?

@romsan · 17.11.2017, 16:38

insect_87, ТС написал, что роутер перевел в обычный свитч с ТД, дал ему адрес из пула своей сети.

pEntity, может на том роутере ICMP запрещен в настройках?
Пинга нет, а зайти на него можете?

@insect_87 · 17.11.2017, 16:40

romsan, просто скорее всего

Сообщение от insect_87

клиент, который пытается подключиться к роутеру, и сам wi-fi роутер в разных подсетях, то понятно, что роутер не знает куда слать пакеты обратно (!)

where is ip default-gateway?

@romsan · 17.11.2017, 16:43

ну дак

Сообщение от pEntity

Выключил WAN, DHCP, поставил ему IP подсети маршрутизатора и патчкорд в LAN порт. Всё, вифи работает, я получаю подсеть фирмы.

а пнига нет из VPN или даже внутри сети?

@pEntity · 17.11.2017, 16:48 **[ТС]**

У меня:

Внешний ип 91.228.179.х

Подсеть 192.168.10.0

У них:

Внешний ип 91.228.179.х

Подсеть 192.168.120.0

VPN соотественно по внешнему айпишнику и по подсети.

Я пингую 192.168.120.203 ( Тот роутер, который дает wifi ) со своего компа 192.168.10.18

Я всю 120 подсетку пингую, кроме того роутера.

Это же проблема роутера. Это что-то с NAT видимо связано и как-то роутеру нужно разрешить себя пинговать ? Так как внутри 120 подсети, он то себя пингует.

@insect_87 · 17.11.2017, 16:48

Сообщение от romsan

ну дак

Сообщение от pEntity

Выключил WAN, DHCP, поставил ему IP подсети маршрутизатора и патчкорд в LAN порт

и ?
из этой же подсети зайдешь в настройки роутера, а из другой?
нет конечно, он же не знает ничего о другой сети

pEntity, какой адрес у керио в 120 подсети?

если например 120.1, тогда
допиши на роутере 120.203 маршрут по умолчанию в сеть 0.0.0.0 0.0.0.0 через 192.168.120.1

@pEntity · 17.11.2017, 16:51 **[ТС]**

romsan, да, мне говорили, что-то в роутере нужно делать, но я не знаю что. Да, зайти могу. Роутер обычный tp-link

Добавлено через 2 минуты
insect_87, 192.168.120.1

У меня 192.168.10.1

@insect_87 · 17.11.2017, 16:55

Сообщение от pEntity

insect_87, 192.168.120.1

ну тогда на wi-fi роутере пиши маршрут в сеть 0.0.0.0 по маске 0.0.0.0 через 192.168.120.1 с LAN интерфейса (192.168.120.203)

@romsan · 17.11.2017, 16:56

Сообщение от insect_87

нет конечно, он же не знает ничего о другой сети

~~ааа, "вон оно чё, Михалыч"~~
Я просто думал что не из VPN, а локально
Да, статический маршрут нужен до Вашей сети на тапке прописать

@pEntity · 17.11.2017, 17:00 **[ТС]**

Не корректное значение маски. А если маска 255.255.255.0, то:

Код ошибки: 4001
Неправильный IP-адрес адресата. Пожалуйста, введите другое значение.

Я же там пишу ?

@pEntity · 17.11.2017, 17:01 **[ТС]**

Но я чуть чуть понимаю логику уже. Тут почему-то 120.0 прописано. Может в этом вся вина.

@romsan · 17.11.2017, 17:16

да, там пишите. Так выстроились планеты во вселенной, что у меня как раз таки точно такая же схема. Прописал в тапке:
192.168.4.0
255.255.255.0
192.168.5.1
-------------------
Из сети 4.0/24 по vpn стал пинговаться тапок 5.8 (без маршрута не пинговался)

@insect_87 · 17.11.2017, 17:16

pEntity, напиши такой
192.168.10.0
255.255.255.0
192.168.120.1
интерфейс LAN&WLAN

@pEntity · 17.11.2017, 20:31 **[ТС]**

romsan, insect_87, благодарю. Теперь всё пингует. Объясните пожалуйста, в чем дело и что мы сделали.

Верно ли я понимаю, роутер просто сам по себе находиться за NAT, за моим то есть маршрутизатором и не имеет значение, что у него локальный ип, который выдает kerio. И мы вручную прописали маршрут, чтоб 120 подсеть, открыла доступ к 10 моей, так ?

@romsan · 17.11.2017, 22:40

Сообщение от pEntity

роутер просто сам по себе находиться за NAT

нет. После отключения DHCP и соединения по LAN Вы из роутера сделали обычный свитч с точкой доступа. Если его отключить от сети, то никакой хост не получит адрес от него (ни по LAN, ни по Wi-Fi)
Т.к. Вы ему назначили адрес из Вашей сети, то данный роутер доступен по этому адресу из этой сети. О других сетях он не знает. Но, т.к. он сам по себе роутер, то у него есть таблица маршрутизации. Соответственно прописав статический (постоянный) маршрут в его таблицу маршрутизации, он теперь знает о сети 192.168.10.0 ну и взаимодействует с ней. Если у Вас еще одна ветка туннеля появится в будущем, например, еще одна сеть 192.168.25.0, то так же нужно будет ему статическим маршрутом указать на наличие такой подсети для взаимодействия.

@pEntity · 18.11.2017, 00:19 **[ТС]**

Я Вас понял. Благодарю.

@insect_87 · 18.11.2017, 17:11

Сообщение от romsan

Но, т.к. он сам по себе роутер, то у него есть таблица маршрутизации. Соответственно прописав статический (постоянный) маршрут в его таблицу маршрутизации, он теперь знает о сети 192.168.10.0 ну и взаимодействует с ней

нет, немного не так, это теперь L2-свитч, который имеет IP адрес для управления (частный случай - int vlan 1), сам по себе он работает на уровне 2 и не умеет маршрутизировать транзитные пакеты, но для управления свитчом используется уровень 3, а пакеты для управления используют маршрутизацию

@romsan 5092 / 2154 / 461 Регистрация: 17.10.2015 Сообщений: 9,202
	17.11.2017, 17:16	15
	да, там пишите. Так выстроились планеты во вселенной, что у меня как раз таки точно такая же схема. Прописал в тапке: 192.168.4.0 255.255.255.0 192.168.5.1 ------------------- Из сети 4.0/24 по vpn стал пинговаться тапок 5.8 (без маршрута не пинговался) 1

@pEntity 327 / 252 / 58 Регистрация: 12.12.2012 Сообщений: 2,048
		1
	Не пингуется роутер по VPN 17.11.2017, 12:37. Показов 5535. Ответов 24 Метки нет (Все метки) Фирма А. Стоит маршрутизатор. Он раздает DHCP. Я поставил роутер, чисто для раздачи WIFI. Выключил WAN, DHCP, поставил ему IP подсети маршрутизатора и патчкорд в LAN порт. Всё, вифи работает, я получаю подсеть фирмы. Фирма Б. Поднял VPN по внешнему IP, могу всех и вся пинговать, но роутер тот не могу. Мне нужно как-то в роутере сделать разрешение ? 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	17.11.2017, 12:55	2
	между чем и чем поднят VPN? какая внутрення адресация, какие туннельные адреса? какой именно роутер, по какому адресу и с какого адреса не видно? 0

@pEntity 327 / 252 / 58 Регистрация: 12.12.2012 Сообщений: 2,048
	17.11.2017, 13:50 [ТС]	3
	VPN поднят между маршрутизаторами в качестве которых выступает kerio. Соединены они по внешнему ипу. Тунель то работает. Всё туда и обратно пингуется. Проблема только в ипе доп. устройства, а именно роутера, который тупо для раздачи wifi. На сколько я знаю, просто в нем как-то нужно разрешить себя пинговать. 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	17.11.2017, 14:58	4
	напишите с какого адреса какой пингуете? и напишите внутренний адрес керио, с которым роутер соединен. если клиент, который пытается подключиться к роутеру, и сам wi-fi роутер в разных подсетях, то понятно, что роутер не знает куда слать пакеты обратно (!) в общем нужны адреса туннельные и локальные. Сообщение от insect_87 какая внутрення адресация, какие туннельные адреса? по какому адресу и с какого адреса не видно? 0

@romsan 5092 / 2154 / 461 Регистрация: 17.10.2015 Сообщений: 9,202
	17.11.2017, 16:38	5
	insect_87, ТС написал, что роутер перевел в обычный свитч с ТД, дал ему адрес из пула своей сети. pEntity, может на том роутере ICMP запрещен в настройках? Пинга нет, а зайти на него можете? 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	17.11.2017, 16:40	6
	romsan, просто скорее всего Сообщение от insect_87 клиент, который пытается подключиться к роутеру, и сам wi-fi роутер в разных подсетях, то понятно, что роутер не знает куда слать пакеты обратно (!) where is ip default-gateway? 0

@romsan 5092 / 2154 / 461 Регистрация: 17.10.2015 Сообщений: 9,202
	17.11.2017, 16:43	7
	ну дак Сообщение от pEntity Выключил WAN, DHCP, поставил ему IP подсети маршрутизатора и патчкорд в LAN порт. Всё, вифи работает, я получаю подсеть фирмы. а пнига нет из VPN или даже внутри сети? 0

@pEntity 327 / 252 / 58 Регистрация: 12.12.2012 Сообщений: 2,048
	17.11.2017, 16:48 [ТС]	8
	У меня: Внешний ип 91.228.179.х Подсеть 192.168.10.0 У них: Внешний ип 91.228.179.х Подсеть 192.168.120.0 VPN соотественно по внешнему айпишнику и по подсети. Я пингую 192.168.120.203 ( Тот роутер, который дает wifi ) со своего компа 192.168.10.18 Я всю 120 подсетку пингую, кроме того роутера. Это же проблема роутера. Это что-то с NAT видимо связано и как-то роутеру нужно разрешить себя пинговать ? Так как внутри 120 подсети, он то себя пингует. 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	17.11.2017, 16:48	9
	Сообщение от romsan ну дак Сообщение от pEntity Выключил WAN, DHCP, поставил ему IP подсети маршрутизатора и патчкорд в LAN порт и ? из этой же подсети зайдешь в настройки роутера, а из другой? нет конечно, он же не знает ничего о другой сети pEntity, какой адрес у керио в 120 подсети? если например 120.1, тогда допиши на роутере 120.203 маршрут по умолчанию в сеть 0.0.0.0 0.0.0.0 через 192.168.120.1 0

@pEntity 327 / 252 / 58 Регистрация: 12.12.2012 Сообщений: 2,048
	17.11.2017, 16:51 [ТС]	10
	romsan, да, мне говорили, что-то в роутере нужно делать, но я не знаю что. Да, зайти могу. Роутер обычный tp-link Добавлено через 2 минуты insect_87, 192.168.120.1 У меня 192.168.10.1 0

	18.11.2017, 17:11

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	17.11.2017, 16:55	11
	Сообщение от pEntity insect_87, 192.168.120.1 ну тогда на wi-fi роутере пиши маршрут в сеть 0.0.0.0 по маске 0.0.0.0 через 192.168.120.1 с LAN интерфейса (192.168.120.203) 0

@romsan 5092 / 2154 / 461 Регистрация: 17.10.2015 Сообщений: 9,202
	17.11.2017, 16:56	12
	Сообщение от insect_87 нет конечно, он же не знает ничего о другой сети ~~ааа, "вон оно чё, Михалыч"~~ Я просто думал что не из VPN, а локально Да, статический маршрут нужен до Вашей сети на тапке прописать 0

@pEntity 327 / 252 / 58 Регистрация: 12.12.2012 Сообщений: 2,048
	17.11.2017, 17:00 [ТС]	13
	Не корректное значение маски. А если маска 255.255.255.0, то: Код ошибки: 4001 Неправильный IP-адрес адресата. Пожалуйста, введите другое значение. Я же там пишу ? Миниатюры 0

@pEntity 327 / 252 / 58 Регистрация: 12.12.2012 Сообщений: 2,048
	17.11.2017, 17:01 [ТС]	14
	Но я чуть чуть понимаю логику уже. Тут почему-то 120.0 прописано. Может в этом вся вина. Миниатюры 0

@pEntity 327 / 252 / 58 Регистрация: 12.12.2012 Сообщений: 2,048
	17.11.2017, 20:31 [ТС]	17
	romsan, insect_87, благодарю. Теперь всё пингует. Объясните пожалуйста, в чем дело и что мы сделали. Верно ли я понимаю, роутер просто сам по себе находиться за NAT, за моим то есть маршрутизатором и не имеет значение, что у него локальный ип, который выдает kerio. И мы вручную прописали маршрут, чтоб 120 подсеть, открыла доступ к 10 моей, так ? 0

@romsan 5092 / 2154 / 461 Регистрация: 17.10.2015 Сообщений: 9,202
	17.11.2017, 22:40	18
	Сообщение от pEntity роутер просто сам по себе находиться за NAT нет. После отключения DHCP и соединения по LAN Вы из роутера сделали обычный свитч с точкой доступа. Если его отключить от сети, то никакой хост не получит адрес от него (ни по LAN, ни по Wi-Fi) Т.к. Вы ему назначили адрес из Вашей сети, то данный роутер доступен по этому адресу из этой сети. О других сетях он не знает. Но, т.к. он сам по себе роутер, то у него есть таблица маршрутизации. Соответственно прописав статический (постоянный) маршрут в его таблицу маршрутизации, он теперь знает о сети 192.168.10.0 ну и взаимодействует с ней. Если у Вас еще одна ветка туннеля появится в будущем, например, еще одна сеть 192.168.25.0, то так же нужно будет ему статическим маршрутом указать на наличие такой подсети для взаимодействия. 1

@pEntity 327 / 252 / 58 Регистрация: 12.12.2012 Сообщений: 2,048
	18.11.2017, 00:19 [ТС]	19
	Я Вас понял. Благодарю. 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	18.11.2017, 17:11	20
	Сообщение от romsan Но, т.к. он сам по себе роутер, то у него есть таблица маршрутизации. Соответственно прописав статический (постоянный) маршрут в его таблицу маршрутизации, он теперь знает о сети 192.168.10.0 ну и взаимодействует с ней нет, немного не так, это теперь L2-свитч, который имеет IP адрес для управления (частный случай - int vlan 1), сам по себе он работает на уровне 2 и не умеет маршрутизировать транзитные пакеты, но для управления свитчом используется уровень 3, а пакеты для управления используют маршрутизацию 0