faq обучение настройка
Текущее время: Чт мар 28, 2024 17:35

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 2 ] 
Автор Сообщение
СообщениеДобавлено: Пт янв 07, 2022 14:12 
Не в сети

Зарегистрирован: Чт июн 20, 2019 23:42
Сообщений: 26
Есть DFL-1600 с прошивкой 2.40.02.10-19089 TP Oct 3 2012.

Настроены: lan, vlan' ны, vpn (pptp и l2tp/ipsec) и wan:
- lan - lan1-lan2-lan3 (в прозрачном режиме) = 192.168.0.0/24;
- vlan1 - lan2 = 192.168.1.0/24
- vlan2 - lan2 = 192.168.2.0/24
- pptp, l2tp/ipsec - vpn pool = 192.168.0.101 - 192.168.0.120.
- wan = ext_white_IP.

В таблице main только те маршруты, которые автоматически сгенерированы, никаких дополнительно "вручную" не добавлено.
Все нужные правила прописаны.

Также проброшены несколько портов внутрь - в lan, для доступа, например по Rdp, Ssh:
dfl_external_ip:ext_port -> lan_server_internal_ip:int_port

Все работает:
- есть доступ:
- lan -> vlan1 и vlan1 -> lan;
- lan -> vlan2 и vlan2 -> lan;
- lan -> pptp и pptp -> lan;
- lan -> l2tp/ipsec и l2tp/ipsec -> lan,
- соответственно lan -> wan;
- есть доступ:
dfl_external_ip:22222 -> lan_server1_internal_ip:22
dfl_external_ip:33389 -> lan_server2_internal_ip:3389

Клиенты vpn = Windows 7/8/10.
Параметр "Использовать основной шлюз в удаленной сети" отключен.

1. Нужен доступ:
- vpn <-> vlan1 и vpn <-> vlan2.

После установки vpn соединения, в Windows клиенте добавляются маршруты:
dfl_ext_ip 255.255.255.255 local_gw_lan_ip local_client_lan_ip 11
192.168.0.0 255.255.255.0 192.168.0.100 192.168.0.102 11
192.168.0.102 255.255.255.255 On-link 192.168.0.102 255

Соответственно, доступ к lan есть, к vlan' ам нет, ибо клиент не "знает" о них и отправляет пакеты с адресом назначения, например 192.168.1.50 или 192.168.2.60, не "в vpn сеть" , а на основной шлюз.
Если прописать вручную дополнительно, например, маршрут:
192.168.1.0 255.255.255.0 192.168.0.100 192.168.0.102
То, теперь известно, куда отправлять пакеты с dts IP = 192.168.1.0/24 - "в vpn сеть" .
И, соответственно узлы vlan1 доступны.
Аналогично и для vlan2.

Но хотелось бы автоматической установки всех нужных маршрутов при установлении подключения.

Один из вариантов - работающая выдача статических маршрутов по DHCP для клиентов Windows (DHCP option 121 и 249) , но ДЛЯ vpn клиентов.

Возможно это как-то сделать ?

Или какие есть еще варианты автоматической установки ?

P. S.: При установке "Использовать основной шлюз в удаленной сети" доступ vpn -> vlan' ны есть.
Хотелось бы без этой галки.


2. При подключении l2tp/ipsec связь с "проброшенными" ресурсами в lan через внешний IP или не устанавливается или рвется.
При подключении pptp - все нормально.
В чем может быть причина ?

Просмотрел:
https://forum.dlink.ru/viewtopic.php?f=3&t=169555
https://forum.dlink.ru/viewtopic.php?f=3&t=167659

Попробовал NatLoopback, как в
https://forum.dlink.ru/viewtopic.php?p=873935#p873935
Разные вариации с адресами, пока не заработало.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт янв 14, 2022 12:27 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
oooo800 писал(а):
Но хотелось бы автоматической установки всех нужных маршрутов при установлении подключения.

не возможно - тк вы создаете p2p соединение - а через него добавить нельзя, даже по dhcp

вариант: вы можете написать скрипт , который после подключения, добавит вам необходимые маршруты (на стороне клиента ) так себе решение .... на форуме был такой скрипт - но очень давно, и найти не смог, автор поста danilova. поищите . может у вас получится.

все шаманские бубны - только на стороне клиента.

вариант 2 , перейти на клиентских машинах на OpenVPN, там через CCD файлы, вы сможете передать нужные маршруты с сервера, хоть дефолтный ... свои DNS...

как то так ...

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 2 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 38


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB