0 / 0 / 0
Регистрация: 05.11.2019
Сообщений: 18
1

VPN в подсеть за вторым роутером

05.11.2019, 11:43. Показов 11373. Ответов 42
Метки нет (Все метки)

Доброго времени суток господа. Помогите решить задачу, взваленную на мои хрупкие плечи по моей же инициативе. Не могу понять как прокинуть vpn для доступа к сетевым ресурсам в подсети (это которая 192.168.2.0/24) которую образует роутер (mikrotik#2), являющийся участником сети (это которая 192.168.88.0/24), которую образует роутер (mikrotik#1) с белым ip и доступом в интернет. Понимая, что, я как ни старалась - а объяснила очень сумбурно, подготовила картинку. В общем стоит задача: с любого пк в интернете по белому ip (77.88.99.11) [ip вымышленный, любые совпадения случайны ] получать доступ к сети, которая 192.168.2.0\24. В частности - доступ к ресурсам NAS. Разумеется доступ этот завернуть нужно в vpn. Готова предоставить любую дополнительную информацию по теме. И ещё, чуть не забыла! Доступ к первой сети я таки победила через pptp. Так что нужно иметь в виду, что на роутере с белым ip уже работает pptp сервер. Спасибо. очень рассчитываю на помощь.
Миниатюры
VPN в подсеть за вторым роутером  
__________________
Помощь в написании контрольных, курсовых и дипломных работ, диссертаций здесь
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
05.11.2019, 11:43
Ответы с готовыми решениями:

VPN клиент на отдельную подсеть
Добрый день. Есть провайдер который предоставляет услуги локальной сети города и интернет по VPN,...

При подключении по VPN перейти в другую подсеть
Всем добрый день Возник вопрос. Имею две сети 192.1.10.0/24 и 192.168.15.0/24 Между ними...

Обращение к пк за роутером в vpn
Здравствуйте! Имеется vpn сервер на роутере mikrotik (внутренний адрес 192.168.1.100) с выделенным...

2012r2 Развернуть VPN на динамическом IP за роутером
Доброго времени всем, возник вопрос по VPN. Сервер стоит за модемом (модем древний не...

42
Эксперт по компьютерным сетям
10521 / 6721 / 1787
Регистрация: 25.12.2012
Сообщений: 28,511
05.11.2019, 12:24 2
На микротике1 должен быть маршрут до сети 2.0
На микротике2 должен быть маршрут до туннельных адресов
Полезный трафик от туннельного адреса удаленного клиента до сети 2.0/или сервера nas не должен попадать под nat и правила фильтрации на обоих роутерах

И самый главный вопрос - зачем так странно разделены внутренние подсети?

Вообще трафик между 88 и 2 сетью разрешается?


Выложите ip firewall export compact из new terminal с обоих роутеров

Добавлено через 10 минут
Вам с туннельных адресов нужен доступ только на nas или вообще ко всей 2 сети?
Важно: выделите для туннельных адресов отдельную подсеть, например 192.168.89.0/24.
0
0 / 0 / 0
Регистрация: 05.11.2019
Сообщений: 18
05.11.2019, 13:18  [ТС] 3
Спасибо за ответ. Моя очередь)))
Ответ на главный вопрос : К уже существующей сети (первый микротик), нужно было прикрутить вторую сеть (второй микротик) так, чтобы последствии добавить второго провайдера (только для второй сети) и сделать на нём балансировку трафика (тьфу тьфу не моя задача). Плюс эти сети должны быть разделены - трафик между 88 и 2 сетью, с точки зрения доступа к ресурсам сетей, должен быть запрещён.
Далее, что такое "туннельных адресов" я не встречала подобного термина. Если имеется ввиду пул адресов, которые выдаются подключившимся,тогда ясно.
Далее: а микротике1 должен быть маршрут до сети 2.0 это как на картинках, что я прикрепила? (ether1 это порт который подключён к микротику1)
Первый микротик
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=5000 in-interface=ether1 protocol=tcp \
to-addresses=192.168.88.205 to-ports=5000
add action=dst-nat chain=dstnat dst-port=5786 in-interface=ether1 protocol=tcp \
to-addresses=192.168.88.205 to-ports=5786
add action=dst-nat chain=dstnat dst-port=1333 in-interface=ether1 protocol=tcp \
to-addresses=192.168.88.205 to-ports=1333
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=\
ether1
add action=dst-nat chain=dstnat protocol=rdp to-addresses=192.168.88.252
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
192.168.89.0/24
add action=netmap chain=dstnat dst-port=3351 protocol=tcp to-addresses=\
192.168.88.2 to-ports=3351
add action=dst-nat chain=dstnat dst-port=1194 in-interface=ether1 protocol=tcp \
to-addresses=192.168.88.2 to-ports=1194

Второй микротик
add action=accept chain=input dst-port=1723 protocol=tcp
add action=accept chain=input protocol=gre
add action=accept chain=input dst-port=1194 in-interface=ether1 protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1

Нужен nas и нужно иметь возможность rdp подключения.
Миниатюры
VPN в подсеть за вторым роутером   VPN в подсеть за вторым роутером  
0
Эксперт по компьютерным сетям
10521 / 6721 / 1787
Регистрация: 25.12.2012
Сообщений: 28,511
05.11.2019, 13:50 4
Проверьте, чтобы на втором микротике был маршрут до 192.168.89.0/24 через 192.168.88.1
И правило маскарада на втором микротике должно выглядеть так:
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 dst-address=!192.168.89.0/24

Вот это правило для чего:?
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
192.168.89.0/24
Если для выхода в инет удаленных клиентов, тогда добавьте в него out-interface=\
ether1.
В любом случае в таком виде его оставлять нельзя

После всего этого должно работать, если конечно вы мне все правила выложили
1
Эксперт по компьютерным сетям
3689 / 1376 / 248
Регистрация: 23.06.2009
Сообщений: 4,939
05.11.2019, 13:54 5
2 микротика это обязательное условие?

Физически микротики далеко друг от друга?

Это я к чему, нет необходимости использовать 2 маршрутизатора, с вашей задачей справится и один, при этом настройка всех ваших хотелок упростится.

Пока не поздно, рекомендую изменить адресацию в локальных сетях на сети из 172.16.0.0/16
Это нужно сделать ввиду особенности построения ОС Windows VPN туннелей, что бы в дальнейшем не поиметь проблем с маршрутизацией.
0
0 / 0 / 0
Регистрация: 05.11.2019
Сообщений: 18
05.11.2019, 14:02  [ТС] 6
.None, Спасибо за ответ. Физически в одной комнате (серверная).
Цитата Сообщение от .None Посмотреть сообщение
Пока не поздно, рекомендую изменить адресацию в локальных сетях на сети из 172.16.0.0/16
Это нужно сделать ввиду особенности построения ОС Windows VPN туннелей, что бы в дальнейшем не поиметь проблем с маршрутизацией.
. А можно поподробнее.
0
0 / 0 / 0
Регистрация: 05.11.2019
Сообщений: 18
05.11.2019, 14:14  [ТС] 7
insect_87,
Цитата Сообщение от insect_87 Посмотреть сообщение
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
192.168.89.0/24
- это правило в обще не нужно. От прошлых настройщиков видимо.
Что я зделала :
Правило вышеуказанное удалила.
NAT модифицировала.
Маршрут на втором прописала.
Теперь Нужно в secrets pptp серевера создать нужных пользователей и указать им ip второй сети?(см.картинку)
Миниатюры
VPN в подсеть за вторым роутером  
0
Эксперт по компьютерным сетям
10521 / 6721 / 1787
Регистрация: 25.12.2012
Сообщений: 28,511
05.11.2019, 14:19 8
ввиду особенности построения ОС Windows VPN туннелей
.None, что ты имеешь ввиду под этим?

Добавлено через 5 минут
Anyutta,
Теперь Нужно в secrets pptp серевера создать нужных пользователей и указать им ip второй сети?(см.картинку)
Local address 192.168.89.1
Remote address 192.168.89.2
А вообще можно создать пул для выдачи удаленным клиентам динамических адресов 89.2-89.255, указать его в профиле, профиль привязать к pptp серверу.
0
0 / 0 / 0
Регистрация: 05.11.2019
Сообщений: 18
05.11.2019, 14:27  [ТС] 9
insect_87, Не взлетел. Подключится - подключился, а вот доступ в сеть не дал и ip-scaner не нашёл ничего, ни в сети 192.168.2.0, ни в сети 192.168.89.0. Где-то я ошибку допустила. Готова предоставить информацию для разбирательства
0
Эксперт по компьютерным сетям
10521 / 6721 / 1787
Регистрация: 25.12.2012
Сообщений: 28,511
05.11.2019, 14:36 10
Код
Ip firewall export compact
Ip route print
С обоих
0
0 / 0 / 0
Регистрация: 05.11.2019
Сообщений: 18
05.11.2019, 14:41  [ТС] 11
insect_87, Подозреваю, из-за того что нет роутинга в сеть 192.168.89.0 на первом микротике.
Миниатюры
VPN в подсеть за вторым роутером  
0
Эксперт по компьютерным сетям
10521 / 6721 / 1787
Регистрация: 25.12.2012
Сообщений: 28,511
05.11.2019, 14:44 12
Вы мои сообщения читаете?
Я же вам сказал поменять пул туннельных адресов на 192.168.89.2-255. Туннельный адрес pptp сервера 192.168.89.1
0
0 / 0 / 0
Регистрация: 05.11.2019
Сообщений: 18
05.11.2019, 14:46  [ТС] 13
Первый (с белым адресом)
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=5000 in-interface=ether1 protocol=tcp \
to-addresses=192.168.88.205 to-ports=5000
add action=dst-nat chain=dstnat dst-port=5786 in-interface=ether1 protocol=tcp \
to-addresses=192.168.88.205 to-ports=5786
add action=dst-nat chain=dstnat dst-port=1333 in-interface=ether1 protocol=tcp \
to-addresses=192.168.88.205 to-ports=1333
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=\
ether1
add action=dst-nat chain=dstnat protocol=rdp to-addresses=192.168.88.252
add action=netmap chain=dstnat dst-port=3351 protocol=tcp to-addresses=\
192.168.88.2 to-ports=3351
add action=dst-nat chain=dstnat dst-port=1194 in-interface=ether1 protocol=tcp \
to-addresses=192.168.88.2 to-ports=1194
add action=masquerade chain=srcnat comment="masq. vpn traffic" out-interface=\
ether1 src-address=192.168.89.0/24

ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 77.221.192.29 1
1 ADC 77.88.99.11/30 77.88.99.11 ether1 0
2 A S 192.168.2.0/24 192.168.88.2 1
3 ADC 192.168.88.0/24 192.168.88.1 bridge 0
4 ADC 192.168.88.52/32 192.168.88.1 <pptp-sbushev> 0
5 ADC 192.168.88.136/32 192.168.88.1 <pptp-admin> 0
6 ADC 192.168.88.137/32 192.168.88.1 <pptp-1COlga> 0
7 ADC 192.168.88.138/32 192.168.88.1 <pptp-1CNina> 0
8 ADC 192.168.88.159/32 192.168.88.1 <pptp-s33> 0
9 ADC 192.168.88.165/32 192.168.88.1 <pptp-s27> 0
10 ADC 192.168.88.167/32 192.168.88.1 <pptp-s17> 0
11 ADC 192.168.88.169/32 192.168.88.1 <pptp-dimasikr> 0

Второй:
/ip firewall filter
add action=accept chain=input dst-port=1723 protocol=tcp
add action=accept chain=input protocol=gre
add action=accept chain=input dst-port=1194 in-interface=ether1 protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat dst-address=!192.168.89.0/24 out-interface=ether1

ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 192.168.88.1 1
1 ADC 192.168.2.0/24 192.168.2.1 bridge2 0
2 ADC 192.168.88.0/24 192.168.88.2 ether1 0
3 A S 192.168.89.0/24 192.168.88.1 1
0
Эксперт по компьютерным сетям
3689 / 1376 / 248
Регистрация: 23.06.2009
Сообщений: 4,939
05.11.2019, 14:48 14
Цитата Сообщение от Anyutta Посмотреть сообщение
А можно поподробнее.
Цитата Сообщение от insect_87 Посмотреть сообщение
что ты имеешь ввиду под этим?
век живи век учись, сам недавно узнал и сам имел с этим проблемы при подключении удаленных ВПН клиентов.

Все дело в том, что виндовс при построении VPN туннеля оперирует классовой адресацией сети.

если VPN адрес клиента из сети 192.168.0.0/16, то виндовс автоматом ставит маршрут 192.168.x.0/24 через ВПН подключение
если адрес из 172.16.0.0/16(12) то винда ставит маршрут 172.16.0.0/16(12) через ВПН подключение
ну и если адрес из 10.0.0.0/8 то весь трафик для этой сети идет через ВПН

правильный выбор адресации избавляет от колдовства на стороне клиента с маршрутизацией
выдали клиенту адрес 172.16.100.5, вся сеть 172.16.0.0/16 становится доступной через ВПН подключение.

это позволяет для ВПН клиентов выдать отдельную сеть /24 (или сколько нужно) и иметь доступ ко всей сети, удобней управлять доступом и т.д.
2
0 / 0 / 0
Регистрация: 05.11.2019
Сообщений: 18
05.11.2019, 14:53  [ТС] 15
insect_87,
Цитата Сообщение от insect_87 Посмотреть сообщение
Вы мои сообщения читаете?
Я же вам сказал поменять пул туннельных адресов на 192.168.89.2-255. Туннельный адрес сервера 192.168.89.1
У меня вопрос. Пул тунельных адресов и собственно тунельный адрес сервера это что? Это (см. картинку)
Миниатюры
VPN в подсеть за вторым роутером  
0
Эксперт по компьютерным сетям
10521 / 6721 / 1787
Регистрация: 25.12.2012
Сообщений: 28,511
05.11.2019, 15:08 16
.None, нет, нет. Никакой классовой адресации. Точка-точка и 32 маска
1. DAC будут всегда в приоритете.
2. У впн клиента маска будет 255.255.255.255 (точка-точка)
3. Стат маршруты выбираются сначала по сети назначения и маске (most specific), далее метрика
4.+на винде по умолчанию используется дефолтный шлюз через впн-подключение
Пример:
У меня локалка 192.168.1.2/24
Pptp-клиент 192.168.2.2/24
Удаленная сеть за pptp-сервером 192.168.3.0/24 через шлюз 192.168.2.2 (или 2.1/32-адрес сервера)
Маршрутизируемая сетка 192.168.4.0 через шлюз 192.168.1.1
Все будет отлично работать

Добавлено через 3 минуты
Пул тунельных адресов и собственно тунельный адрес сервера это что? Это (см. картинку
Anyutta, да
0
Эксперт по компьютерным сетям
3689 / 1376 / 248
Регистрация: 23.06.2009
Сообщений: 4,939
05.11.2019, 15:24 17
Цитата Сообщение от insect_87 Посмотреть сообщение
нет, нет. Никакой классовой адресации. Точка-точка и 32 маска
тоже так думал всю жизнь, и пихал маршруты на ПК клиента чтоб был доступ к другой сети через ВПН

вот тут все объясняется
0
Эксперт по компьютерным сетям
10521 / 6721 / 1787
Регистрация: 25.12.2012
Сообщений: 28,511
05.11.2019, 15:25 18
Anyutta, если у вас на удаленном vpn-клиенте в доп свойствах впн-подключения снят чекбокс "Использовать шлюз в удаленной сети", то вам надо прописать маршрут
Код
Route add 192.168.2.0 mask 255.255.255.0 192.168.89.1 metric 1 - p
Или вместо туннельного адреса сервера можно указать туннельный адрес клиента, если он постоянный, например у клиента будет постоянный адрес 192.168.89.2, тогда маршрут можно прописать и так:
Код
Route add 192.168.2.0 mask 255.255.255.0 192.168.89.2 metric 1 - p
Если нужен доступ до 88 подсети, так же по аналогии прописать маршрут и до нее
0
Эксперт по компьютерным сетям
3689 / 1376 / 248
Регистрация: 23.06.2009
Сообщений: 4,939
05.11.2019, 15:36 19
вот про это я и говорю, не нужно прописывать маршруты и вообще что либо делать на стороне клиента, за исключением снять галочку "Использовать шлюз в удаленной сети", но для этого нужно изменить адресацию в локальной сети за микротиком

и по хорошему, настроить все на 1 микротике, 2011 можно использовать в качестве коммутатора, уйдут сразу проблемы с НАТ, пробросом портов, все управление из 1 места и т.д., но дело конечно хозяйское
0
Эксперт по компьютерным сетям
10521 / 6721 / 1787
Регистрация: 25.12.2012
Сообщений: 28,511
05.11.2019, 15:45 20
Да по приводу схемы в порядок - я согласен. Но здесь мы смотрим в рамках поставленной задачи.
На первом микротике, кстати, у ТС vpn-трафик уже натится для выхода в интернет, поэтому нет нужды снимать на клиентах дефолтный шлюз в туннель, опять же в рамках поставленной задачи это не обговаривается.
По поводу классовой адресации на туннели в винде давайте у TC и посмотрим
Anyutta, выложите route print из cmd с удаленного клиента с поднятым впн-подключением.
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
05.11.2019, 15:45
Помогаю со студенческими работами здесь

Не могу подключиться к VPN серверу за роутером из внешней сети
Задача: Сделать из своего домашнего компьютера VPN сервер, чтобы комп из внешней сети мог обойти...

Настройка VPN между Ubuntu Server 14.04 (amd64) и роутером Draytek
Есть роутер Draytek Vigor 2930 со статическим IP. Для Windows есть специальная программка для...

Vpn между cisco роутером 3285 и cisco pix-515
Здравствуйте! Есть сеть-1 (роутер) и сеть-2 (пикс) Нужно сделать доступ по рдп на внутренние...

VPN между CISCO ASA и "обычным" роутером
Здравствуйте. Собственно, сам вопрос уже в Заголовке ))) Имеется CISCO ASA и куча завалявшихся...

Mikrotik как клиент VPN, максимальное количество VPN подключений
Добрый день, хотелось бы знать сколько можно максимально создать на Mikrotike PPTP или OVPN...

Организация своего VPN-канала при предоставлении интернета через VPN Beeline
Постараюсь быть краток и лаконичен! Для проведения работ на серверах организации-заказчика был...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2022, CyberForum.ru