VPN между двумя роутерами TP-Link TL-ER6020 (маршрутизация в локальную сеть)

@Wargus1987 · Регистрация: 21.12.2016

Author24 — интернет-сервис помощи студентам

Всем добрый вечер.

Проблема судя по всему с маршрутизацией, но обо всем подробнее. Есть центральный офис, есть филиал. Для понимания выложу общую схему сети (см.вложение). В центральном офисе установлен multihomed dc (он, же DNS сервер, DHCP и т.д) на DC установлен kerio (знаю что не лучший вариант но все есть как есть). Внешний интерфейс сервера 192.168.1.104 смотрит на интернет шлюз TP-Link TL-ER6020 192.168.1.100, второй интерфейс смотрит в локальную сеть 192.168.0.1. Со стороны филиала все еще проще, есть тестовый компьютер 192.168.2.103 и еще один роутер TP-Link TL-ER6020 с адресом 192.168.2.1, между двумя роутерами поднят ipsec vpn (lan to lan)

Задача очень проста но в то же время для меня стала камнем преткновения вот уже на полтора месяца. В офисе есть три компьютера которые необходимо добавить в домен, после чего тот должен получать политики с DC, иметь доступ к ресурсам в подсети 192.168.0.1 (см. второй интерфейс DC eth2). В данный момент имею следующую ситуацию. Два vpn роутера видят друг друга, с тестового компьютера 192.168.2.103 в филиале я пингую роутер 192.168.1.100, пингую внешний интерфейс сервера DC, но не могу достучаться до сети 192.168.0.1, соответственно не могу достучаться до DNS и ввести тестовый компьютер в домен.

P.S. На роутере 192.168.1.100 прописан маршрут destination 192.168.0.0 subnet mask 255.255.255.0 next hope (gate) 192.168.1.100.

P.P.S. Предупреждая вопросы скажу что Kerio не при чем, пакеты до него не доходят судя по логам.

@insect_87 · 13.01.2017, 06:47

на kerio nat поднят?
покажи таблицы маршрутов обоих роутеров и керио?

@Wargus1987 · 13.01.2017, 20:26 **[ТС]**

Извиняюсь , может туплю конечно

, но в kerio вроде нет отдельной опции которая nat активирует, есть правила некоторые у меня которые используют трансляцию NAT. Это по первому вопросу. Второе. На роутерах обоих был включен NAT, на форуме TP-Link'a посоветовали поставить режим работы в Classic Mode в этом режиме роутеры сейчас и работают. Скриншоты маршрутов в kerio, и на двух роутерах во вложении.

@insect_87 · 13.01.2017, 20:56

Сообщение от Wargus1987

но в kerio вроде нет отдельной опции которая nat активирует, есть правила некоторые у меня которые используют трансляцию NAT.

еще раз - kerio натирует трафик из подсети 192.168.0.0/24?
на главном роутере маршрут в сеть 0.0 должен быть через 1.104 (а не 1.100), с таблицами вообще что-то.....
покажи tracert с компа из подсети филиала (2.х) до компа из подсети гл офиса (0.0), и наоборот,
tracert с компа из подсети гл офиса (0.0) до компа из подсети филиала

@Wargus1987 · 19.01.2017, 20:43 **[ТС]**

Kerio не "натит" трафик в сеть 0.0, скриншоты tracert из филиала (сеть 2.0) в центральный офис (сеть 0.0) и обратно прикладываю. На главном роутере поменял шлюз маршрута на 1.104.

@Wargus1987 · 19.01.2017, 21:30 **[ТС]**

Да и с маршрутами вроде все ОК. На главном роутере (центральный офис):

Маршрут 192.168.0.0 единственный маршрут добавленный мной руками.
Маршрут 192.168.1.0 (первая подсеть тут все понятно), подключение по LAN, воткнут сервер. Этот маршрут роутер добавил автоматом.
Маршрут 192.168.1.210 это я по vpn pptp подключался роутер добавил маршрут автоматом.
Маршрут 192.168.2.0 был добавлен роутером автоматом при поднятии vpn между двумя железками.
Маршрут 192.168.3.0 подключен коммутатор (DMZ) через порт DMZ на роутере, тоже добавлен роутером автоматом.

На роутере который стоит в филиале вроде с маршрутами еще все яснее:

Маршрут 192.168.1.0 был добавлен роутером автоматом при поднятии vpn между двумя железками.
Маршрут 192.168.2.0 в порт LAN роутера подключен коммутатор, этот маршрут так же был добавлен роутером автоматически.

@insect_87 · 20.01.2017, 00:53

покажи
1. таблицу маршрутизации керио
и еще раз
2-3. скрины таблиц обоих роутеров
а так же
4-5.

Code
1
tracert 192.168.1.104

c ПК 192.168.2.104
и

Code
1
tracert 192.168.2.104

c керио (192.168.1.104)

@Wargus1987 · 20.01.2017, 20:56 **[ТС]**

insect_87, извиняюсь немножко дезинформировал тебя по предыдущему ответу. Скринов много накопилось уже с диагностики, перепутал не то тебе прислал. Скрин с tracert'ом с одного из компьютеров в локальной сети (0.0) центрального офиса до одного из компьютеров в филиале (2.0) во вложении. Т.е из подсети 0.0 (центральный офис) пингуется и трассируется компьютер в подсети 2.0 (филиал), а вот обратно не пингуется и tracert не проходит. А теперь по твоим пунктам, все результаты tracert и таблицы маршрутизации во вложении.

p.s. Прошу обратить внимание что компьютер с адресом 192.168.2.104 обновил аренду ip и теперь имеет вид 192.168.2.110. Но от этого как говориться суть не меняется.

@insect_87 · 20.01.2017, 21:37

опять, откуда взялся маршрут до сети 0.0 через 1.100 на 2м скрине (роутер филиала)?
дальше, значит из 0.0 в 2.0 вижу пинг проходит
из 2.0 до прокси тоже вижу, проходит
в общем камень либо в маршруте на роутере в филиале до сети 0.0, либо nat на керио мешает (nat'ирует сеть 0.0 в адрес 1.104)
покажи еще скрины, как на этих роутерах ipsec настраивал, это site-to-site видимо, те только ipsec.
там с gre вместе его нельзя настроить?

@Wargus1987 · 23.01.2017, 16:55 **[ТС]**

Маршрут который 0.0 до 1.104 сам не появлялся, это уже я запутался. Я его в прошлый раз не удалил, а просто деактивировал. Потом наверное пока тестил опять его включил. В данный момент этот маршрут был мной удален чтобы глаза не мозолил.

Скрины с настройками VPN во вложении, если что настраивал по этой инструкции http://www.tp-linkru.com/faq-380.html

Настроек GRE во вкладке VPN не видел

Все настройки во вложении это с роутера в центральном офисе, в филиале они такие же за исключением адреса шлюза, там он обратный соответственно.

Честно говоря уже не знаю что тут сделать можно, может быть в самом Kerio маршрут добавить надо ? Только вот не пойму что там шлюзом можно указать.

@insect_87 · 24.01.2017, 08:14

Сообщение от Wargus1987

может быть в самом Kerio маршрут добавить надо ?

у керио есть дефолтный маршрут через 1.100
раз до внешнего интерфейса керио пинги из филиала доходят, может все же нат на керио поднят?

Новые блоги и статьи Все статьи Все блоги /
Как использовать OAuth2 со Spring Security в Java Javaican 14.05.2025 Протокол OAuth2 часто путают с механизмами аутентификации, хотя по сути это протокол авторизации. Представьте, что вместо передачи ключей от всего дома вашему другу, который пришёл полить цветы, вы. . .	Анализ текста на Python с NLTK и Spacy AI_Generated 14.05.2025 NLTK, старожил в мире обработки естественного языка на Python, содержит богатейшую коллекцию алгоритмов и готовых моделей. Эта библиотека отлично подходит для образовательных целей и. . .	Реализация DI в PHP Jason-Webb 13.05.2025 Когда я начинал писать свой первый крупный PHP-проект, моя архитектура напоминала запутаный клубок спагетти. Классы создавали другие классы внутри себя, зависимости жостко прописывались в коде, а о. . .	Обработка изображений в реальном времени на C# с OpenCV stackOverflow 13.05.2025 Объединение библиотеки компьютерного зрения OpenCV с современным языком программирования C# создаёт симбиоз, который открывает доступ к впечатляющему набору возможностей. Ключевое преимущество этого. . .	POCO, ACE, Loki и другие продвинутые C++ библиотеки NullReferenced 13.05.2025 В C++ разработки существует такое обилие библиотек, что порой кажется, будто ты заблудился в дремучем лесу. И среди этого многообразия POCO (Portable Components) – как маяк для тех, кто ищет. . .
Паттерны проектирования GoF на C# UnmanagedCoder 13.05.2025 Вы наверняка сталкивались с ситуациями, когда код разрастается до неприличных размеров, а его поддержка становится настоящим испытанием. Именно в такие моменты на помощь приходят паттерны Gang of. . .	Создаем CLI приложение на Python с Prompt Toolkit py-thonny 13.05.2025 Современные командные интерфейсы давно перестали быть черно-белыми текстовыми программами, которые многие помнят по старым операционным системам. CLI сегодня – это мощные, интуитивные и даже. . .	Конвейеры ETL с Apache Airflow и Python AI_Generated 13.05.2025 ETL-конвейеры – это набор процессов, отвечающих за извлечение данных из различных источников (Extract), их преобразование в нужный формат (Transform) и загрузку в целевое хранилище (Load). . . .	Выполнение асинхронных задач в Python с asyncio py-thonny 12.05.2025 Современный мир программирования похож на оживлённый мегаполис – тысячи процессов одновременно требуют внимания, ресурсов и времени. В этих джунглях операций возникают ситуации, когда программа. . .	Работа с gRPC сервисами на C# UnmanagedCoder 12.05.2025 gRPC (Google Remote Procedure Call) — открытый высокопроизводительный RPC-фреймворк, изначально разработанный компанией Google. Он отличается от традиционых REST-сервисов как минимум тем, что. . .

@Wargus1987 0 / 0 / 0 Регистрация: 21.12.2016 Сообщений: 6

	VPN между двумя роутерами TP-Link TL-ER6020 (маршрутизация в локальную сеть) 12.01.2017, 21:04. Показов 7519. Ответов 10 Метки нет (Все метки) Всем добрый вечер. Проблема судя по всему с маршрутизацией, но обо всем подробнее. Есть центральный офис, есть филиал. Для понимания выложу общую схему сети (см.вложение). В центральном офисе установлен multihomed dc (он, же DNS сервер, DHCP и т.д) на DC установлен kerio (знаю что не лучший вариант но все есть как есть). Внешний интерфейс сервера 192.168.1.104 смотрит на интернет шлюз TP-Link TL-ER6020 192.168.1.100, второй интерфейс смотрит в локальную сеть 192.168.0.1. Со стороны филиала все еще проще, есть тестовый компьютер 192.168.2.103 и еще один роутер TP-Link TL-ER6020 с адресом 192.168.2.1, между двумя роутерами поднят ipsec vpn (lan to lan) Задача очень проста но в то же время для меня стала камнем преткновения вот уже на полтора месяца. В офисе есть три компьютера которые необходимо добавить в домен, после чего тот должен получать политики с DC, иметь доступ к ресурсам в подсети 192.168.0.1 (см. второй интерфейс DC eth2). В данный момент имею следующую ситуацию. Два vpn роутера видят друг друга, с тестового компьютера 192.168.2.103 в филиале я пингую роутер 192.168.1.100, пингую внешний интерфейс сервера DC, но не могу достучаться до сети 192.168.0.1, соответственно не могу достучаться до DNS и ввести тестовый компьютер в домен. P.S. На роутере 192.168.1.100 прописан маршрут destination 192.168.0.0 subnet mask 255.255.255.0 next hope (gate) 192.168.1.100. P.P.S. Предупреждая вопросы скажу что Kerio не при чем, пакеты до него не доходят судя по логам. Миниатюры 0

@insect_87 11437 / 7006 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	13.01.2017, 06:47
	на kerio nat поднят? покажи таблицы маршрутов обоих роутеров и керио? 0

@Wargus1987 0 / 0 / 0 Регистрация: 21.12.2016 Сообщений: 6
	13.01.2017, 20:26 [ТС]
	Извиняюсь , может туплю конечно , но в kerio вроде нет отдельной опции которая nat активирует, есть правила некоторые у меня которые используют трансляцию NAT. Это по первому вопросу. Второе. На роутерах обоих был включен NAT, на форуме TP-Link'a посоветовали поставить режим работы в Classic Mode в этом режиме роутеры сейчас и работают. Скриншоты маршрутов в kerio, и на двух роутерах во вложении. Миниатюры 0

@Wargus1987 0 / 0 / 0 Регистрация: 21.12.2016 Сообщений: 6
	19.01.2017, 20:43 [ТС]
	Kerio не "натит" трафик в сеть 0.0, скриншоты tracert из филиала (сеть 2.0) в центральный офис (сеть 0.0) и обратно прикладываю. На главном роутере поменял шлюз маршрута на 1.104. Миниатюры 0

@Wargus1987 0 / 0 / 0 Регистрация: 21.12.2016 Сообщений: 6
	19.01.2017, 21:30 [ТС]
	Да и с маршрутами вроде все ОК. На главном роутере (центральный офис): Маршрут 192.168.0.0 единственный маршрут добавленный мной руками. Маршрут 192.168.1.0 (первая подсеть тут все понятно), подключение по LAN, воткнут сервер. Этот маршрут роутер добавил автоматом. Маршрут 192.168.1.210 это я по vpn pptp подключался роутер добавил маршрут автоматом. Маршрут 192.168.2.0 был добавлен роутером автоматом при поднятии vpn между двумя железками. Маршрут 192.168.3.0 подключен коммутатор (DMZ) через порт DMZ на роутере, тоже добавлен роутером автоматом. На роутере который стоит в филиале вроде с маршрутами еще все яснее: Маршрут 192.168.1.0 был добавлен роутером автоматом при поднятии vpn между двумя железками. Маршрут 192.168.2.0 в порт LAN роутера подключен коммутатор, этот маршрут так же был добавлен роутером автоматически. 0

@Wargus1987 0 / 0 / 0 Регистрация: 21.12.2016 Сообщений: 6
	20.01.2017, 20:56 [ТС]
	insect_87, извиняюсь немножко дезинформировал тебя по предыдущему ответу. Скринов много накопилось уже с диагностики, перепутал не то тебе прислал. Скрин с tracert'ом с одного из компьютеров в локальной сети (0.0) центрального офиса до одного из компьютеров в филиале (2.0) во вложении. Т.е из подсети 0.0 (центральный офис) пингуется и трассируется компьютер в подсети 2.0 (филиал), а вот обратно не пингуется и tracert не проходит. А теперь по твоим пунктам, все результаты tracert и таблицы маршрутизации во вложении. p.s. Прошу обратить внимание что компьютер с адресом 192.168.2.104 обновил аренду ip и теперь имеет вид 192.168.2.110. Но от этого как говориться суть не меняется. Миниатюры 0

@insect_87 11437 / 7006 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	20.01.2017, 21:37
	опять, откуда взялся маршрут до сети 0.0 через 1.100 на 2м скрине (роутер филиала)? дальше, значит из 0.0 в 2.0 вижу пинг проходит из 2.0 до прокси тоже вижу, проходит в общем камень либо в маршруте на роутере в филиале до сети 0.0, либо nat на керио мешает (nat'ирует сеть 0.0 в адрес 1.104) покажи еще скрины, как на этих роутерах ipsec настраивал, это site-to-site видимо, те только ipsec. там с gre вместе его нельзя настроить? 0

@Wargus1987 0 / 0 / 0 Регистрация: 21.12.2016 Сообщений: 6
	23.01.2017, 16:55 [ТС]
	Маршрут который 0.0 до 1.104 сам не появлялся, это уже я запутался. Я его в прошлый раз не удалил, а просто деактивировал. Потом наверное пока тестил опять его включил. В данный момент этот маршрут был мной удален чтобы глаза не мозолил. Скрины с настройками VPN во вложении, если что настраивал по этой инструкции http://www.tp-linkru.com/faq-380.html Настроек GRE во вкладке VPN не видел Все настройки во вложении это с роутера в центральном офисе, в филиале они такие же за исключением адреса шлюза, там он обратный соответственно. Честно говоря уже не знаю что тут сделать можно, может быть в самом Kerio маршрут добавить надо ? Только вот не пойму что там шлюзом можно указать. Миниатюры 0

Опции темы