Туннелирование двух ЛС с двусторонним доступом
 

Здравствуйте!

Сразу оговорюсь, что в сетевых вопросах собаку я даже не начинал есть, поэтому сильно не ругайтесь :)

Задача следующая. Есть две совершенно не связанные ЛС, которые должны быть объединены через VPN, причем у компьютеров из ЛС#1 должен быть доступ к компьютерам из ЛС#2 и наоборот. ЛС#1 находится за NAT'ом роутера Zyxel Keenetic II, на котором поднят PPTP-сервер. С компьютера ЛС#2 через PPTP-соединение устанавливается связь с роутером ЛС#1. При этом доступ из ЛС#2 в ЛС#1 есть, а вот наоборот - нет.

Для решения указанной проблемы руководствовался этой статьей.

Итак, у ЛС#1 - 192.168.1.0/24, а у ЛС#2 я, к своему стыду, не знаю, поэтому скину урезанный ipconfig с машины из ЛС#2:

Как видно, у ПК из ЛС#2 два соединения - одно это ЛС, другое - Интернет-соединение. Т.е. получается, что у ЛС#2: 192.168.32.0/25 (да?), что, собственно, я и ввожу в маршрут:

, где 172.16.1.33 - IP, который получает ПК из ЛС#2 при подключении к VPN-серверу роутера из ЛС#1.

Далее пытаюсь из ЛС#1 обратиться к компьютеру из ЛС#2 (через пинг) по IP 192.168.32.64, но тщетно :(

Фаервол на время теста на машине из ЛС#2 отключен.

Вероятно, я неправильно определяю маршрут (адрес сети назначения и маску подсети). Но увы, не знаю, где именно косяк.

Будьте добры, кто соображает в данном деле, помогите, решить проблему...

Спасибо!

P.S. На всякий случай прилагаю route print с машины из ЛС#2:

А про ЛС#2 нам догадаться надо?

Angry Demon, Пардон :) ЛС#2 также находится за роутером, но к нему доступа нету... В таком случае ничего не получится, да? Я что-то надеялся, что раз туннель установлен, то всё получится...

Если бы "на краях" сетей стояли два Keenetic-а, то получилось бы. Либо если бы "на краях" стояли роутеры с DD-WRT (OpenWRT). Либо если бы "на краях" стояли компьютеры с OpenVPN.

Angry Demon, хм...

При этом доступ к ПК (который находится в ЛС#2) из ЛС#1 получается по IP 172.16.1.33! Т.е. из ЛС#1 проходит пинг до 172.16.1.33. Так и должно быть?

Вообще, при VPN-подключении ПК из ЛС#2, становится полноправным членом удалённой сети. Для этого, собссссно, VPN и придуман. Более того, можно назначить диапазон получаемых по VPN адресов из подсети ЛС#1 для простоты. У вас не очень понятно, что за 172.16.1.33.
А если бы "на краях" было то, о чём я писАл выше, то две сети видели бы друг друга прозрачно, каналы бы висели постоянно безо всяких ручных подключений.

Angry Demon, Про пул известно. Но я просто делал однозначную привязку VPN-пользователя к определенному IP (чисто для тестирования).
А возможен такой вариант: с одного "края" тот же Keenetic, а с другого - ASUS RT-N16 с прошивкой TomatoUSB (вроде как относится к семейству OpenWRT)?


Кстати, пытался найти чем конкретно хорош в данном случае OpenVPN, но так и не смог. В инетах пишут про всякую безопасность и скорость, а вот что именно позволяет делать это:?

Дык, можно было дать им привязку к адресам из свободного пространства сети ЛС#1.

Если на ваш Keenetic ставится DD-WRT или OpenWRT, то да. ;) Всё дело в том, что в этих самых WRT весело и вкусно организуется VPN-канал на базе OpenVPN.

Гибко настраиваем, шифрование канала.
PPTP vs L2TP vs OpenVPN vs SSTP

Ещё раз, чтобы сети видели друг друга прозрачно, VPN-канал нужно организовывать "на краях". Именно там будут работать необходимые маршруты, а станции будут прозрачно видеть друг дружку.

Angry Demon, в общем, теперь у меня с одного края сети Keenetic II, а с другого RT-N16.

Поднять OpenVPN Server на Keenetic'е можно, но это не для моих мозгов: надо устанавливать какой-то Entware-Keenetic, потом OPKG с OpenVPN, потом каким-то образом настраивать собственно этот OpenVPN через conf-файл... Я не нашел в Инете структурированной информации по этому поводу :(

Поэтому я всё также мечтаю обойтись лёгким путём, посредством PPTP. В связи с этим у меня вопрос к Вам, как специалисту в данной области: возможно ли в принципе соединить два разных роутера по PPTP? Я пытаюсь, и ещё пытаюсь, но такое ощущение, что Zyxel посылает клиент Asus'а по каким-то причинам. Правда, есть ещё надежда, что я натыкаюсь на глючные PPTP-клиенты... Причем в данном случае непонятно куда писать: то ли в ветку/форум Асуса (вопрошая там про нормальный клиент), то ли в ветку/форум Зикселя (жалуясь на то, что сервер отвергает подключения Асуса) =/

The_Immortal, а не хотите установить DD-WRT на оба устройства и настроить PPTP сервер/клиент таким макаром?

Angry Demon, А Вы думаете на Keenetic DD-WRT встанет? В списке поддерживаемых девайсов Zyxel'ей вя вообще не увидел... Просто на Zyxel'ях, как я понял, обычно оставляют родную систему (ибо к ней никаких претензий) и в случае необходимости добавляют OPKG из OpenWRT. Я пока попробую поставить DD-WRT только на Асус - вдруг заведется.

The_Immortal, вообще, по железу Keenetic = DIR620 = Asus RT13U.
Кроме того, OpenWRT на роутерах серии ZyXEL Keenetic.