Схема существующей сети:



Роутер нужен для доступа в инет с помощью модема, обеспечивающего беспроводной канал.

ЗАДАЧА:
Что надо настроить на обеих DFL-ках, чтобы с Ноутбука-1 (LAN 192.168.21.2) получить доступ к WebGUI Роутера (LAN 192.168.10.1) ?

РЕШЕНИЕ:
Выражаем реcпект участникам форума MTRX и Vladimir22 за помощь и подробное описание процесса хождения пакетов.
Как выяснилось для решения поставленной задачи надо:
1. На DFL-сервере создать объект, объединяющий сети 192.168.11.0/0 + 192.168.10.0/0 в одну группу.
2. На DFL-сервере указать эту объект-группу в настройках подключающегося Пользователя в параметре "Сети за клиентом".
3. На DFL-клиенте создать правило:
Действие: NAT [Это принципиально важно]
Сервис: All_services [MTRX предлагает all_tcpudpicmp, чтобы ограничить количество протоколов и тем самым не гонять заведомо ненужный в этом случае трафик]
Интерфейс-источник: L2TP-IPsec_Client
Сеть-источник: 192.168.21.0/0
Интерфейс-назначение: WAN
Сеть-назначение: 192.168.10.0/0

Разрешить администрирование с нужного интерфейса и нужной подсети .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Не совсем понял Вашу мысль в отношении Роутера с lan 192.168.10.1 - это обычный бытовой роутер и вхожу я на него через lan. Так что в нем ничего настраивать не надо.
Что касается обеих DFL-ок, то внешнее управление я для удобства настройки сделал в самом начале.

Кроме того, настроил доступ из ЛВС 21 к ЛВС 11, прописав в свойствах подключающегося L2TP/IPsec-клиента (на правом DFL) его ip 192.168.21.220 и сеть за ним 192.168.11.0/24. Спасибо за оказанную помощь всем участникам темы "Доступ к локалке за DFL-260, являющегося L2TP/IPSec-клиентом".

Но как из ЛВС 21 (192.168.21.0/24) попасть в ЛВС 10 (192.168.10.0/24) ?

1. можно задать внешнее управление для этого рутера
или
2. сделать переадресацию парой правил SAT/NAT с DFL 10 на локальный рутер по LAN 10

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Роутер через модем имеет доступ в инет через GSM-оператора и не имеет внешнего IP адреса.


Нужно получить доступ ко всем устройствам в ЛВС 10 (192.168.10.0/24), а не только к роутеру.


Как быть подскажите, пожалуйста.

Добавление в настройках VPN-клиента еще одной подсети (192.168.10.0/24) задачу не решило.

показывайте настройки клиента на стороне сервера

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Настройка IP PPTP/L2TP для пользователя
Статический IP-адрес клиента: 192.168.21.100
Сети за пользователем: 192.168.11.0/0
Метрика для сети: пусто

Эти настройки + правила решают проблему доступа к сети 192.168.11.0/0.

Но как получить доступ к сети за WAN: 192.168.10.0/0 ?

ну отправите в туннель все сети которые нужны вам , предварительно сгруппировав в один объект , нужные вам сети

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Именно так я и сделал ранее: объединил сети в одну группу 192.168.11.0/0 + 192.168.10.0/0 и указал эту группу в параметре: "Сети за клиентом".
Так как 192.168.10.0/0 не связана в таблице маршрутизации ни с каким интерфейсом, то я предполагал, что к ней роутер автоматом поведет через WAN.
Поэтому я не прописывал ничего дополнительного в таблице маршрутизации и не создавал никакие дополнительные правила.
Но ... ничего не получилось.
Похоже, что решение где-то близко...

натить

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Что и куда ? Подробнее, пожалуйста

ваш IPsec Интерфейс в сторону WAN, если вам конечно туда надо попасть .

PS сколько постов . атак и не увидели правил, интефесов , и прочего ...
скоро и мне надоест для вас пошагово разжёвывать куда и что должно ходить в вашей схеме ..... вы наверное ЗП получаете ?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Я специально нарисовал схему, чтобы было понятно. Свои изыскания тоже подробно изложил в теме. Вы так говорите будто все уже разжевали и не раз, но это не так. Понимаю, бывает плохое настроение. Тему поднял потому, что считаю ее полезной для других Форумчан. Поэтому не поленился потратить время и нарисовать подробную схему. Она актуальна, если организовывать доступ DFL к Интернет через модем. А по поводу зарплаты, то я ее не получаю, так как делаю это для себя. Это мое хобби. Надеюсь, лирики достаточно...

А по сути (спасибо Вам за подсказку) буду тестировать правило на клиенте:
L2TTP-IPsec_Client 192.168.21.0/0 NAT wan 192.168.10.0/0 All_services.
Но логика мне не понятна, ведь в моих неудачных экспериментах было разрешающее правило:
TP-IPsec_Client 192.168.21.0/0 Allow wan 0.0.0.0/0 All_serv

Если для вас это хобби то запомните раз и навсегда: пакету надо знать не тодько как достич цели, но и как вернутся .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку