Добрый вечер,господа. Помогите советом в сложившейся ситуации.
Для начала - схема сети.
Есть у меня сеть 192.168.0.0/24 за DFL-860E (на схеме обозначена буквой "А"). Прошивка 2.40.04.08-21457 Jun 4 2013. Понадобилось выпустить два компа по VPN в сеть содружественной организации. Тамошние админы приблизительно обрисовали схему так, как я нарисовал : у них есть DFL (модель мне неизвестна), на которой поднят PPTP-сервер (на схеме обозначена буквой "B"). Она соединяется через IPSEC ещё с одной DFL (на схеме обозначена буквой "C"), за которой сидит сервер терминалов. Требуется подключиться по VPN к DFL'ке "B", после чего зайти на сервер 192.168.1.3.
Всё бы ничего, но у меня-то эти два компа сидят за одним NAT'ом. Соответственно, вдвоём работать не смогут. Попробовал пошаманить с созданием PPTP ALG, однако наткнулся на рандомный обвал моей DFL с ошибкой "Exception 'Prefetch Abort' at address bla-bla-bla" (точно не помню). Причём отследил, что обвал происходит именно в момент подключения второго компа, когда первый уже подключен, но не всегда. Решил попробовать настроить VPN-клиент на самой DFL. Однако столкнулся с тем, что PPTP-соединение устанавливается, адрес берётся 192.168.3.120, но компы в моей сети в упор не видят сервер 192.168.1.3. Причём с самой DFL 860E адрес сервера пингуется. Если подключиться с теми же параметрами VPN с обычного компа, то всё работает.
Что делал:
1. Отключил автоматическое добавление маршрута при установлении VPN-соединения. По какой-то причине основной шлюз от PPTP-сервера прилетает вида 0.0.0.0, а маска имеет вид 255.255.255.255. Добавлял статический маршрут в таблицу main вида "Interface - PPTP-client, Remote Network - 192.168.1.3". Возможно, здесь мой косяк - может, требуется указывать в параметре Remote Network 192.168.3.0/24 с добавлением ещё какого-то маршрута уже к 192.168.1.3? Хотя, мне кажется, что необходимо только указать маршрут к узлу 192.168.1.3 через интерфейс PPTP-клиента, а маршрутизация между сетями 192.168.3.0/24 и 192.168.1.0/24 - дело оборудования тамошних админов. В общем, что с добавлением статического маршрута, что с получением его после установления PPTP-соединения, ситуация одна и та же - пинг с самой DFL 860E идёт, а с компов за ней - нет.
2. На самый верх выкладывал правила вида:
Action: Allow
Service: all-services
Source Interface: lan
Source network: lannet
Destination interface: pptp_client
Destination network: 192.168.1.3
Action: Allow
Service: all-services
Source Interface: pptp_client
Source network: 192.168.1.3
Destination interface: lan
Destination network: lannet
Компоненты правил "Service", "Source Interface" и "Destination Interface" менялись на all-icmp, all-tcpudpicmp, any. Во всех случаях результат одинаковый - пинг с самой DFL 860E идёт, а с компов за ней - нет.
В итоге пока завернул трафик со второго компа через резервного провайдера посредством PBR, чтобы каждый комп сидел за своим NAT'ом. Однако хочется разобраться в ситуации. Подскажите, более опытные коллеги: всё-таки это я что-то недонастроил, или можно хоть до посинения биться с разными правилами, но работать эта схема всё равно не будет из-за особенностей настроек оборудования сторонней организации или ещё из-за чего-то? Буду благодарен за любой ответ.
P.S. Поднять IPSEC между DFL "A" и DFL "B" не получится по административным причинам, от меня не зависящим.
Вход
Регистрация
FAQ
Поиск
