LINUX.ORG.RU

VPN - Объединение двух сетей

 ,


0

1

Пытаюсь объединить две сети посредством VPN туннеля.

Структура всей инсталяции: http://penzmarkt.ru/net2net.jpg

VPN (PPTP) сервер поднят на выделенном сервере в инете. К нему подключаются как клиенты два роутера под OpenWRT как клиенты, они же являются шлюзами в локалках LAN1 и LAN2.

Цель - доступ с PC в LAN1 к PC в LAN2.

Прописаны следующие маршруты:

На VPN сервере

route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.3.10
route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.3.11

На роутере1 статические маршруты

192.168.3.11/255.255.255.255 vpn
192.168.2.0/255.255.255.0 vpn

На роутере2 статические маршруты
192.168.3.10/255.255.255.255 vpn
192.168.1.0/255.255.255.0 vpn

Далее с компа в LAN1 (192.168.1.241) делаю tracert 192.168.2.136 (комп в LAN2), трейс доходит до роутера LAN2 (192.168.3.11) и далее обрыв.

Подскажите, что не учел? Еще какой-то маршрут нужен где-то?

Ответ на: комментарий от Radjah

Пока есть желание добить PPTP, так как вижу, что развязка близка и не хватает последнего штриха, так как в целом трейс показывает что туннель пройден, чего-то не хватает на роутерах, вопрос чего? :(

FlashKiller ()
Ответ на: комментарий от FlashKiller

Разрешения передавать пакеты извне сети внутрь?

Я вот представил себе ситуацию, как уютненькая квартира с двумя ноутами, сервером и стационарником выходят в инет через роутер, а в кабель врезается злоумышленник, сидящий в подъезде, врезает в кабель свой роутер, и начинает сканировать порты в сетке квартиры. Я на месте роутера не стал бы допускать такое без явного разрешения — пакеты, прилетевшие извне не через NAT, направлять на внутренние машины.

Northsoft ★★ ()

Да, уже подсказали попробовать явный форвардинг из интерфейса впн в лан, дома буду пробовать чуть позже следующее:

/var/config/firewall:

config 'forwarding'
        option 'dest' 'lan'
        option 'src'  'vpn'

config 'forwarding'
        option 'dest' 'vpn'
        option 'src'  'lan'

Вы это имели в виду?

FlashKiller ()
Ответ на: комментарий от FlashKiller

Точно не скажу, я лишь возможно существующий концепт прикинул.

Northsoft ★★ ()

Изменение в конфиге: основное правило forward переведено в accept. Интерфейсу vpn создана собственная зона VPN. Добавлено правило SNAT, направляющее трафик с зоны vpn на гейтвеи роутеров (192.168.1.1 и 192.168.2.1 соответственно).

Не знаю как, но клиент из сети2 начал пинговать клиента из сети1, но не наоборот, обратно пинг не идет.

Вот текущие конфиги:

Роутер LAN1

config switch 'eth0'
        option name 'eth0'
        option reset '1'
        option enable_vlan '1'

config switch_vlan
        option device 'eth0'
        option vlan '1'
        option ports '1 2 3 4 8t'

config switch_vlan
        option device 'eth0'
        option vlan '2'
        option ports '0 8t'

config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'fdc6:1613:6fbd::/48'

config interface 'lan'
        option ifname 'eth0.1'
        option force_link '1'
        option type 'bridge'
        option proto 'static'
        option ipaddr '192.168.1.1'
        option netmask '255.255.255.0'
        option ip6assign '60'

config interface 'wan'
        option ifname 'eth0.2'
        option proto 'static'
        option ipaddr '82.209.92.252'
        option netmask '255.255.255.0'
        option gateway '82.209.92.1'
        list dns '8.8.8.8'
        list dns '85.234.32.35'

config interface 'wan6'
        option ifname 'eth0.2'
        option proto 'dhcpv6'

config interface 'vpn'
        option proto 'pptp'
        option server '5.39.82.222'
        option username 'home'
        option password 'qwerty'
        option delegate '0'
        option defaultroute '0'
        option peerdns '0'

config route
        option interface 'vpn'
        option target '192.168.3.11'
        option netmask '255.255.255.255'

config route
        option interface 'vpn'
        option target '192.168.2.0'
        option netmask '255.255.255.0'
config defaults
        option input 'ACCEPT'
        option output 'ACCEPT'
        option syn_flood '1'
        option forward 'ACCEPT'

config zone
        option name 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        option network 'lan'

config zone
        option name 'wan'
        option output 'ACCEPT'
        option masq '1'
        option mtu_fix '1'
        option input 'REJECT'
        option forward 'REJECT'
        option network 'wan wan6'

config rule
        option name 'Allow-DHCP-Renew'
        option src 'wan'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'

config rule
        option name 'Allow-Ping'
        option src 'wan'
        option proto 'icmp'
        option icmp_type 'echo-request'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-IGMP'
        option src 'wan'
        option proto 'igmp'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-DHCPv6'
        option src 'wan'
        option proto 'udp'
        option src_ip 'fe80::/10'
        option src_port '547'
        option dest_ip 'fe80::/10'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-MLD'
        option src 'wan'
        option proto 'icmp'
        option src_ip 'fe80::/10'
        list icmp_type '130/0'
        list icmp_type '131/0'
        list icmp_type '132/0'
        list icmp_type '143/0'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Input'
        option src 'wan'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        list icmp_type 'router-solicitation'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'router-advertisement'
        list icmp_type 'neighbour-advertisement'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Forward'
        option src 'wan'
        option dest '*'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config include
        option path '/etc/firewall.user'

config rule
        option src 'wan'
        option dest 'lan'
        option proto 'esp'
        option target 'ACCEPT'

config rule
        option src 'wan'
        option dest 'lan'
        option dest_port '500'
        option proto 'udp'
        option target 'ACCEPT'

config rule
        option target 'ACCEPT'
        option src 'wan'
        option proto 'tcp'
        option dest_port '1723'
        option name 'Open1723'

config redirect
        option target 'DNAT'
        option src 'wan'
        option dest 'lan'
        option proto 'tcp udp'
        option src_dport '52596'
        option dest_ip '192.168.1.241'
        option dest_port '52596'
        option name 'utorrent'

config zone
        option name 'vpn'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option network 'vpn'
        option forward 'ACCEPT'
        option masq '1'
        option mtu_fix '1'

config forwarding
        option dest 'wan'
        option src 'lan'

config rule
        option target 'ACCEPT'
        option src 'vpn'
        option dest 'lan'

config redirect
        option enabled '1'
        option target 'SNAT'
        option src 'vpn'
        option dest 'lan'
        option proto 'all'
        option src_dip '192.168.1.1'
FlashKiller ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.