Есть DFL-1600 с прошивкой 2.40.02.10-19089 TP Oct 3 2012.
Настроены: lan, vlan' ны, vpn (pptp и l2tp/ipsec) и wan:
- lan - lan1-lan2-lan3 (в прозрачном режиме) = 192.168.0.0/24;
- vlan1 - lan2 = 192.168.1.0/24
- vlan2 - lan2 = 192.168.2.0/24
- pptp, l2tp/ipsec - vpn pool = 192.168.0.101 - 192.168.0.120.
- wan = ext_white_IP.
В таблице main только те маршруты, которые автоматически сгенерированы, никаких дополнительно "вручную" не добавлено.
Все нужные правила прописаны.
Также проброшены несколько портов внутрь - в lan, для доступа, например по Rdp, Ssh:
dfl_external_ip:ext_port -> lan_server_internal_ip:int_port
Все работает:
- есть доступ:
- lan -> vlan1 и vlan1 -> lan;
- lan -> vlan2 и vlan2 -> lan;
- lan -> pptp и pptp -> lan;
- lan -> l2tp/ipsec и l2tp/ipsec -> lan,
- соответственно lan -> wan;
- есть доступ:
dfl_external_ip:22222 -> lan_server1_internal_ip:22
dfl_external_ip:33389 -> lan_server2_internal_ip:3389
Клиенты vpn = Windows 7/8/10.
Параметр "Использовать основной шлюз в удаленной сети" отключен.
1. Нужен доступ:
- vpn <-> vlan1 и vpn <-> vlan2.
После установки vpn соединения, в Windows клиенте добавляются маршруты:
dfl_ext_ip 255.255.255.255 local_gw_lan_ip local_client_lan_ip 11
192.168.0.0 255.255.255.0 192.168.0.100 192.168.0.102 11
192.168.0.102 255.255.255.255 On-link 192.168.0.102 255
Соответственно, доступ к lan есть, к vlan' ам нет, ибо клиент не "знает" о них и отправляет пакеты с адресом назначения, например 192.168.1.50 или 192.168.2.60, не "в vpn сеть" , а на основной шлюз.
Если прописать вручную дополнительно, например, маршрут:
192.168.1.0 255.255.255.0 192.168.0.100 192.168.0.102
То, теперь известно, куда отправлять пакеты с dts IP = 192.168.1.0/24 - "в vpn сеть" .
И, соответственно узлы vlan1 доступны.
Аналогично и для vlan2.
Но хотелось бы автоматической установки всех нужных маршрутов при установлении подключения.
Один из вариантов - работающая выдача статических маршрутов по DHCP для клиентов Windows (DHCP option 121 и 249) , но ДЛЯ vpn клиентов.
Возможно это как-то сделать ?
Или какие есть еще варианты автоматической установки ?
P. S.: При установке "Использовать основной шлюз в удаленной сети" доступ vpn -> vlan' ны есть.
Хотелось бы без этой галки.
2. При подключении l2tp/ipsec связь с "проброшенными" ресурсами в lan через внешний IP или не устанавливается или рвется.
При подключении pptp - все нормально.
В чем может быть причина ?
Просмотрел:
https://forum.dlink.ru/viewtopic.php?f=3&t=169555https://forum.dlink.ru/viewtopic.php?f=3&t=167659Попробовал NatLoopback, как в
https://forum.dlink.ru/viewtopic.php?p=873935#p873935Разные вариации с адресами, пока не заработало.