[TC] Объединение двух локальных сетей, какие порты открыть
Доброго времени суток всем!
Братья и сёстры, дамы и господа, выручайте. Ситуация следующая:
объединяю две локальных сети под управлением кинетиков, чтобы из одной
локальной сети всегда иметь доступ в другую. На обоих кинетиках
прошивка v2. Один кинетик коннектится к другому через vpn. Все
рекомендации, изложенные в базе знаний zyxel, выполнил и с одного
кинетика теперь всегда есть доступ к другому кинетику, но вот на
компьютеры за кинетиками доступа нет. Подозреваю, что винда просто не
разрешает входящие пакеты иначе, как одной подсети со мной, а отсюда
вывод, что надо открывать порты для адресного пространства
192.168.xxx.xxx, но вот не совсем помню, какие порты должны быть
открыты для того, чтобы с одного компа смотреть шару другого. По
именам компьютеров поиск работать не будет, т.к. фактически компьютеры
за одним кинетиком и компьютеры за другим кинетиком находятся в разных
подсетях, но по ip-адресу доступ-таки получить можно.
Ниже приведу свою переписку с техподдержкой зюкселя на случай того,
если кто-нить захочет сделать то же, что и я, т.к. в базе знаний в
статьях много скриншотов.
#1, 27 ОКТЯБРЯ 2014, 09:57
Здравствуйте.
Просмотрел вашу базу знаний на предмет сабжа, но, к сожалению, многое
в статьях представлено в виде скриншотов. Увы, у меня проблемы со
зрением и я пользуюсь
программами речевого экранного доступа для работы на компьютере.
Чтецы экрана, по понятным причинам, не могут озвучивать скриншоты,
посему, если вас не
затруднит, напишите в текстовом виде, какие шаги мне нужно проделать,
чтобы иметь возможность получить в полном объёме доступ к своей
домашней сети через
vpn-туннель с удалённого компьютера.
Дано: Keenetic II с белым статическим ip-адресом и поднятым сервером
pptp. Адресация на кинетике следующая:
Адрес кинетика в домашней сети: 192.168.1.1
Маска подсети 255.255.255.0
Сервер vpn настроен следующим образом:
Включить: галочка отмечена
Одно подключение на пользователя: галочка отмечена
Разрешить подключения без шифрования: галочка не отмечена
Транслировать адреса клиентов (NAT): галочка отмечена
Доступ к сети: Home network (Wired and wireless hosts) (Home)
Начальный адрес пула: 172.16.1.33
Размер пула адресов: 10
Так же есть пользователь с логином vpn, которому разрешено
подключение к кинетику и у этого пользователя установлено получение
статического ip-адреса,
сиречь, когда пользователь vpn подключится к кинетику, он получит
адрес 172.16.1.2
Теперь о доступе к локальной сети с удалённой подсистемы. Будем для
простосты считать, что в удалённой системе роутер белый кинетик со
стандартными настройками.
Т.е. чёрный кинетик у нас вцыступает в роли vpn-сервера, а белый
кинетик будет к нему подключаться. Адресация выше написана для чёрного
кинетика.
Белый кинетик коннектится к Интернету через PPPoE
Для того, чтобы всё работало, мне кажется, на белом кинетике нужно
изменить адресацию, чтобы в сети не было одинаковых ip-адресов и
шлюзов. Поставим на
белом кинетике адресацию 192.168.2.1 с маской 255.255.255.0
Теперь у нас есть две непересекающиеся подсети: 192.168.1.0/24 -
домашняя сеть, воглаве с чёрным кинетиком, на котором поднят сервер vpn
192.168.2.0/24 - сеть воглаве с белым кинетиком, компьютер из которой
будет поднимать vpn-соединение, т.е. не белый кинетик будет
коннектиться к чёрному,
а компьютер из подсети, управляемой белым кинетиком, будет
коннектиться к чёрному.
Как в этом случае сделать, чтобы к обеим подсетям был доступ друг из
друга? Очевидно необходимо прописывать статическую маршрутизацию, но
не совсем понятно,
что прописывать в чёрном кинетике.
Есть ещё вариант: установить на белый кинетик прошивку v2 и заставить
его поднимать туннель до чёрного кинетика, опишите в этом варианте,
какие маршруты
и где нужно прописывать.
Есть тут ещё одна проблема: при установке прошивки v2 хотелось
сделать-бы так: белый кинетик коннектится к чёрному и поднимает
туннель, однако, если по
каким-либо причинам чёрный кинетик недоступен и установить
vpn-соединение с ним невозможно, интернет-бы работал через PPPoE,
через которое он коннектится
к провайдеру. Т.е. примерно такие приоритеты: сначала пробуем pptp0,
если он недоступен, гоняем интернет по pppoe0, но, если вдруг на pptp0
появился интернет,
переключаемся опять туда.
Простите за такое количество вопросов, понимаю, что на большинство из
них есть ответы в базе знаний, но, увы, большинство информации в ней
дано на скриншотах,
которые чтец экрана не может мне прочитать.
#3, 27 ОКТЯБРЯ 2014, 14:25
Здравствуйте
у нас такая схема проверялась с точностью до адресов
http://zyxel.ru/kb/4214 -
с тем отличием, что вместо белого keenetic использовался keenetic
omni - а этот роутер с микропрограммой v2.
совсем понятно, что прописывать в чёрном кинетике."
чтобы клиентам со стороны черного keenetic были доступны клиенты
белого, на черном keenetic надо добавить маршрут в меню
"интернет>маршруты": адрес сети
назначения 192.168.2.0/255.255.255.0 , адрес шлюза 172.16.1.2 (т.е.
адрес пользователя) ;
на белом keenetic при настройке pptp-клиента в меню
интернет>авторизация необходимо снять флажок "использовать ка основное
соединение" -
это на микропрограмме v1, но такая схема не проверялась ; на
микропрограмме v2 на белом keenetic надо сделать три разрешающих
правила
в меню Безопасность>Межсетевой экран - для
в меню Безопасность>протоколов tcp,udp,icmp для созданного
в меню Безопасность>PPTP-интерфейса
#4, 27 ОКТЯБРЯ 2014, 17:11
Хорошо, тогда допустим, что на белый кинетик я установлю программу
v2, но всё ещё остаются несколько вопросов:
1. я хочу, чтобы при доступности интерфейса pptp0 весь трафик гонялся
по нему, т.е. чтобы и интернет на белом кинетике гонялся через
туннель. Как я понимаю,
в этом случае при настройке интерфейса мне надо установить галочку
'использовать для выхода в Интернет'. Нужно-ли прописывать в этом
случае статический
маршрут на белом кинетике до сети 192.168.1.0, или он придёт по
умолчанию при поднятии pptp0?
2. Я писал:
Есть тут ещё одна проблема: при установке прошивки v2 хотелось
сделать-бы так: белый кинетик коннектится к чёрному и поднимает
туннель, однако, если по
каким-либо причинам чёрный кинетик недоступен и установить
vpn-соединение с ним невозможно, интернет-бы работал через PPPoE,
через которое он коннектится
к провайдеру. Т.е. примерно такие приоритеты: сначала пробуем pptp0,
если он недоступен, гоняем интернет по pppoe0, но, если вдруг на pptp0
появился интернет,
переключаемся опять туда.
На сколько я понимаю, реализовывается это через компонент
PingChecker, если он доступен для обычного белого кинетика (не гиги
(есть у меня в зарегистрированных
устройствах)). Опишите, пожалуйста, как правильно настроить этот
PingChecker, чтобы он периодически 'пинал' pptp0 и, в случае его
работоспособности гонял
весь трафик через него.
3. Исходя из моей схемы галочка ' использовать для выхода в Интернет'
должна быть установлена у обоих интерфейсов, сиречь pppoe0 и pptp0, а
кто из них
'главнее' будет решаться с помощью приоритетов (чем выше число, тем
выше приоритет)?
Спасибо.
#5, 29 ОКТЯБРЯ 2014, 11:05
Добрый день
Вопрос 1. "хочу, чтобы при доступности интерфейса pptp0 весь трафик
гонялся по нему, т.е. чтобы и интернет на белом кинетике гонялся через
туннель. Как
я понимаю, в этом случае при настройке интерфейса мне надо установить
галочку 'использовать для выхода в Интернет'. Нужно-ли прописывать в
этом случае
статический маршрут на белом кинетике до сети 192.168.1.0, или он
придёт по умолчанию при поднятии pptp0?"
Ответ : да, чтобы весь трафик шел через vpn-туннель, надо установить
в настройках подключения pptp0 флажок ' 'использовать для выхода в
Интернет'. Статический
маршрут на белом keenetic не нужен - он придёт по умолчанию при
поднятии pptp0.
Ваш третий вопрос является ответом на второй. Надо для подключения
pptp0 установить больший приоритет по сравнению ppoe. PingChecker
настроить так:
После установки компонента Проверка доступности Интернета (Ping
Сheck) в меню Приложения появится вкладка Ping Check. На этой вкладке
выбирается интерфейс
ppptp0, после двойного щелчка откроется настройка:
установить флажок "Использовать проверку доступности", "Метод
проверки" указать ICMP (ping), поле "Проверять адрес" - адрес черного
keenetic,
"Периодичность проверки" и "Порог срабатывания" - соответственно
значения 5 и 3, нажать "Применить"
