LINUX.ORG.RU
ФорумAdmin

VPN между двумя шлюзами. Соединить локалки.

 ,


0

2

Поднял vpn по pptp между компом одной локалки (с которого нужно иметь доступ к другой) и шлюзом другой локалки.

Не вижу компы в другой локалке.

Компы 172.16.0.0/12

Адрес pptp клиента 172.16.222.1

Прошу помощи.



Последнее исправление: cetjs2 (всего исправлений: 3)

Маршруты прописаны. И что значит:

Компы 172.16.0.0/12

У вас что, один диапазон адресов в обоих локалках?

mky ★★★★★
()
Ответ на: комментарий от adxfighter

Осмысленно. Адреса не пересекаются. Психанул. Всё порушил уже. Proxy ARP вкл.

Попробую подробно написать. Завтра снова буду пробовать.

Есть машина 172.16.1.33/12, с которой нужно управлять другими в другой сети. На ней поднят pptp сервер localip 172.16.1.33 remoteip 172.16.222.1-10

Есть удаленный шлюз, за которым расположена та самая сеть 172.16.0.0/12 которой нужно управлять.

На шлюзе (mikrotik) настроен клиент с сервером (172.16.1.33) Соединение установлено. Адрес 172.16.222.1 получен.

С pptp сервера пингуется шлюз 172.16.222.1 и наоборот.

Нужно заиметь доступ к машинам (172.16.0.0/12) за шлюзом (nat) 172.16.222.1.

Вот такие дела.

lousx
() автор топика
Ответ на: комментарий от lousx

Ты хочешь объединить две физически разные сети, притом, что в обеих сетях один и тот же диапазон 172.16.0.0/12, так что-ли?

ansky ★★★★★
()
Ответ на: комментарий от ansky

Совершенно верно. Сменить адреса в удаленной сети впринципе не проблема, если без этого не обойтись.

lousx
() автор топика
Ответ на: комментарий от ansky

Еще вроде есть вариант после поднятия vpn объединить их через EoIP. В таком случае не придется менять адреса.

lousx
() автор топика
Ответ на: комментарий от lousx

Можно много что делать, но при одинаковых диапазонах адресов в двух локалках, каждый раз добаляя новый компьютер в локалку нужно заботиться о том, что такого адреса нет в другой локалке.

Тунелирование ethernet-кадров приведёт к дополнительной нагрузке на тунель — широковещательные пакеты и ethernet-заголовки. С другой стороны, может вам и нужно объединение сетей на уровне ethernet, допустим, вам нужно, чтобы работало «сетевое окружение» в оффтопике, а wins-сервер в ставить не захотите. Тогда, воможно, вам нужен не pptp, а openvpn в TAP-режиме.

mky ★★★★★
()
Ответ на: комментарий от lousx

Файрвол на компьютере в другой сети? Ходят слухи, что винда по умолчанию отвечает на пинги только из своей подсети.

mky ★★★★★
()
Ответ на: комментарий от v9lij

Послушал совета - разделил сети. Ну а остальное все по правилам. На машине, с которой нужно управлять запущен pptp сервер. Шлюз удаленной сети, устройствами в которой нужно управлять - pptp клиент.

Соединение установили. (172.16.100.1 <-----pptp----> 172.16.222.1)

Заменил адреса в удаленной сетке на 1.2.3.0/24 На удаленном шлюзе на локальном интерфейсе добавил 1.2.3.1/24

На своей машине (с которой нужно управлять) прописал маршрут:

route add -net 1.2.3.0 netmask 255.255.255.0 gw 172.16.222.1 dev ppp0[\code]

ну и всё.

Загвоздка была в следующем:
На удаленном шлюзе разрешил прохождение с 1.2.3.0/24 на 172.16.100.1 т.е. с машин, которыми нужно управлять на pptp адрес сревера
lousx
() автор топика
Ответ на: комментарий от lousx

На удаленном шлюзе разрешил прохождение с 1.2.3.0/24 на 172.16.100.1 И ОБРАТНО

lousx
() автор топика
Ответ на: комментарий от mky

Теперь сделал при одинаковых диапазонах. Просто сменил адрес pptp на левый для обоих сетей.

Т.е. сетки у меня 172.16.0.0/12

pptp сервер 10.10.10.10/24

Ну и роуты соответственно.

lousx
() автор топика
Ответ на: комментарий от lousx

То есть типа всё работает, на шлюзе у вас два маршрута к 172.16.0.0/12?

Кстати, как у вас traceroute работал между компьютерами в двух локалках, если iptables на удалённом шлюзе блокировали эти пакеты?

mky ★★★★★
()
Ответ на: комментарий от mky

Ну да. К 172.16.0.0/12 маршрутов на шлюзе нет. Ну только дефолтный.

Маршрут к 172.16.0.0/12 прописываю на компе, с которого нужно иметь доступ, и одновременно кладу интерфейс с адресом в этой сети. Таким образом теряю доступ к локалке на время, делаю что надо в удаленной локалке. Потом вертаю все наместо. Геморно. Но не так часто это нужно.

Одновременно заиметь доступ и туда и сюда не получится, наверное.

Кстати, как у вас traceroute работал между компьютерами в двух локалках, если iptables на удалённом шлюзе блокировали эти пакеты?

Не знаю.

lousx
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.