Как правильно настроить маршрутизацию сети LAN и VPN?

@juZhaLL0 · Регистрация: 18.04.2025

Студворк — интернет-сервис помощи студентам

Добрый день! Нужна помощь. Понимаю, что вопрос может звучать банально для профессионала. Однако такому дилетанту как я необходимо понять правильную схему организации маршрутизации траффика в такой сети.

Главный узел - 192.168.88.0\24 - GW1 - 192.168.88.1
На нем OVPN 10.0.7.0\28 - GW2 - 10.0.7.1

Выделенный хост - 1.1.1.1 - Linux
OVPN Client - 10.0.7.2
+ route 10.0.7.0 255.255.255.240 10.0.7.1

Здесь нужно понять, достаточно ли одного маршрута на стороне клиента opvn сервера или нужно дополнительно добавить на стороне главного узла маскарад? Нужен ли он вообще там? Я почему спрашиваю, ведь согласно конфигу, микротик не получал явных указаний того, чтобы маршрутизировать траффик между GW1 и GW2 (но трафик при этом ходит из одной сети в другую).

Code
1
2
3
4
5
6
root@VPS47399:~# tracepath 192.168.88.235
 1?: [LOCALHOST]                      pmtu 1500
 1:  10.0.7.1                                            133.292ms
 1:  10.0.7.1                                            218.342ms
 2:  192.168.88.235                                      109.957ms reached
     Resume: pmtu 1500 hops 2 back 2

Если я выполняю трассировку с OVPN клиента из МСК, траффик проходит по маршруту и шлюз OVPN отвечает дважды. Хотя, по идее, чтобы попасть в сеть GW1, нужно было бы попасть и на его шлюз. Или это уже особенности обработки результатов трассировки linux.. пока вот это не понятно.

@NoNaMe · 18.04.2025, 19:29

juZhaLL0, Если 2 раза, то там отрабатывает VRF. 1-ый раз отвечает интерфейс, 2-ой уже сам vrf.
На той стороне полностью изолированное пространство под вас. Маскарад с вашей стороны не требуется, думаю достаточно написать им какие сети вы будете использовать, они допишут до них маршруты со своей стороны.

@juZhaLL0 · 22.04.2025, 05:03 **[ТС]**

Code
1
2
3
4
5
6
7
#     DST-ADDRESS      GATEWAY                  DISTANCE
0  Is 0.0.0.0/0              pppoe-out1                      1
  DAv 0.0.0.0/0             pppoe-out1                      1
  DAc 192.168.88.0/24  bridge-l                            0
  DAc 192.168.99.0/24  bridge-r                            0
  DAc 2.2.2.2/32           pppoe-out1                       0
  DAc 10.0.7.2/32         <ovpn-ovpn-client-msk1>  0

а вот не включал я никакой VRF..

@juZhaLL0 · 23.04.2025, 04:14 **[ТС]**

хм.. говорят, что все современные коммутаторы так настроены, что все сети на уровне устройства автоматически доступны через gw друг друга. Чтобы ограничить доступ одной сети в другую, надо указывать это явно

@NoNaMe · 23.04.2025, 19:31

juZhaLL0, только то что пушит вам сервер OVPN. Но кто сказал, что нельзя и свои дописать. Или не использовать выданные.

Новые блоги и статьи Все статьи Все блоги /
Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .
Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .	Фото: Daniel Greenwood kumehtar 13.11.2025	Расскажи мне о Мире, бродяга kumehtar 12.11.2025 — Расскажи мне о Мире, бродяга, Ты же видел моря и метели. Как сменялись короны и стяги, Как эпохи стрелою летели. - Этот мир — это крылья и горы, Снег и пламя, любовь и тревоги, И бескрайние. . .

@NoNaMe Модератор 2607 / 745 / 160 Регистрация: 10.06.2009 Сообщений: 2,948
	18.04.2025, 19:29
	juZhaLL0, Если 2 раза, то там отрабатывает VRF. 1-ый раз отвечает интерфейс, 2-ой уже сам vrf. На той стороне полностью изолированное пространство под вас. Маскарад с вашей стороны не требуется, думаю достаточно написать им какие сети вы будете использовать, они допишут до них маршруты со своей стороны. 1

@juZhaLL0 0 / 0 / 0 Регистрация: 18.04.2025 Сообщений: 3
	23.04.2025, 04:14 [ТС]
	хм.. говорят, что все современные коммутаторы так настроены, что все сети на уровне устройства автоматически доступны через gw друг друга. Чтобы ограничить доступ одной сети в другую, надо указывать это явно 0

@NoNaMe Модератор 2607 / 745 / 160 Регистрация: 10.06.2009 Сообщений: 2,948
	23.04.2025, 19:31
	juZhaLL0, только то что пушит вам сервер OVPN. Но кто сказал, что нельзя и свои дописать. Или не использовать выданные. 0