Добрый день. Есть две сети. Одна со статическим внешним ip провайдера, внутренняя сеть 192.168.1.0, на ней включен vpn сервер, и заведен пользователь vpn_user. Вторая сеть - с динамическим ip, к инету подключается через usb мегафон модем. Внутренняя сеть 192.168.0.0. Соединение устанавливается под пользователем vpn_user, и с клиента (192.168.0.1) доступна сеть 192.168.1.0 Надо, чтобы и с сети 192.168.1.0 был доступ к 192.168.0.0. Но этого нет. Не пингуется с zyhel 192.168.1.1 ip 192.168.0.1 С 192.168.0.1 роутер 192.168.1.1 пингуется. Думаю, что надо настроить доступ на роутере 192.168.0.1, но не получается. Пробовала добавлять разрешающие правила firewall - не идет пинг. Если кто-то сталкивался, подскажите, пожалуйста, как сделать, чтобы при наличия туннеля между сетями был доступ как к сети сервера, так и к сети клиента.
Правильно ли я понял: Есть роутер Zyxel с ip 192.168.1.1/24 со статическим внешним ip Есть роутер mikrotik с ip 192.168.0.1/24 с динамическим внешним ip и модемом На Zyxel поднят VPN сервер который раздает какие-то адреса клиентам (вопрос какие с каким префиксом сети) На сервере VPN настроен 1 клиент vpn_user который успешно используется роутером mikrotik Ping с 192.168.1.1 на 192.168.0.1 успешно проходит через установившийся туннель Предположу что в сети zyxel (192.168.1.0/24) есть некий компьютер 192.168.1.100 который отвечает на пинг и нужен абонентам обоих сетей ( например сетевой принтер) - назовем его printer1 есть некий пользовательский компьютер 192.168.1.200 - обозначим его user1 В сети mikrotik (192.168.0.0/24) аналогично есть некий компьютер 192.168.0.100 который отвечает на пинг и нужен абонентам обоих сетей ( например сетевой принтер) - назовем его printer0 есть некий пользовательский компьютер 192.168.0.200 - обозначим его user0 VPN Адрес vpn сервера и vpn клиента (я предполагаю лежат вне локальных сетей роутеров) фаерволы обоих роутеров должны как минимум НЕ МЕШАТЬ работе поэтому на время настройки (только! на время настройки) их можно выключить (не удалить а отключить!!!) если Вы на сейчас в достаточной мере не владеете вопросом чтоб понимать какое правило фаервола как работает За маршрутизацию отвечает другой раздел не фаервол а роутинг соответственно Как настроить на zyxel маршрутизацию я не подскажу т.к.мало имел с ним дел но нужно искать раздел маршрутизации и добавлять маршруты для сети микротика (192.168.0.0/24) с указанием в роли шлюза ip адреса микротика ( того адреса который раздал VPN сервер клиенту vpn_user) если все выполнено верно то должна появится видимость из сети 192.168.1.0/24 в направлении и шлюза микротик (192.168.0.1) и printer0 и user0 Вполне может быть что некие маршруты добавляются самостоятельно роутером при подключении VPN клиента(вопрос только какие и как посмотреть) на микротике это действие делается в разделе IP - Routes добавляется маршрут для 192.168.1.0/24 шлюзом (Gateway) для этой сети будет zyxel c IP (тем ip который у VPN сервера и не факт что он 192.168.1.1 он может быть другим- нужно уточнять в настройках Zyxel) тогда из сети 192.168.0.0/24 появится видимость не только самого шлюза (192.168.1.1) но и printer1 и user1 Нужно понимать что для проверки должны использоваться компьютеры у которых фаервол и антивирус не режет пакеты приходящие не из локальной сети т.к. часто бывает что проблема не в роутере а в конечном устройстве которое просто режет входящий трафик Не забыть! вернуть все защитные механизмы в разделе Firewall в рабочее положение
С компьютера, подключенного к роутеру 192.168.0.1 захожу на роутер 192.168.1.1 - значит , vpn туннель работает. Но, при этом, когда с роутера 192.168.1.1 хочу пропинговать сеть 192.168.0.1 - пинг не идет. Клиенты vpn получают ip из сети 172.16.1.0
для конкретного клиента vpn_user нужно зафиксировать IP получаемый от vpn сервера чтоб он не менялся и можно было его использовать для маршрута Стоит на стороне zyxel найти варианты для просмотра существующих маршрутов у роутера - где-то да должно быть это видно ... это упростит настройки и ДА раз известно что VPN сервер раздает адреса вида 172.16.1.0/24 возможно (но не факт) что себе он раздал адрес 172.16.1.1/24 и тогда на стороне микротика в маршрутах нужно его и использовать (в роли шлюза) До этого на микротике зайти в ip-addressess и найти адрес полученный микротиком для впн соединения вида 172.16.1.**/**- его можно использовать в маршрутах на стороне zyxel зайти в ip - routes убедится что маршрут на 192.168.1.0/24 идет через шлюз 172.16.1.1 и у него статус Активен зайти в tools-Ping проверить что пинг с микротика на 172.16.1. проходит успешно из сети микротика проверить доступность самого микротика затем zyxel по адресу 172.16.1.1, затем его же по адресу 192.168.1.1 затем комп в сети zyxel например 192.168.1.100 если все верно настроено на стороне микротика - должны проходить пинги
Спасибо большое. Пинги пошли. С роутера zyxel 192.168.1.1 на 192.168.0.1 и другие устройства сети. Вопрос теперь в следующем. Туннель работает под определенным пользователем, пинги идут. На телефоне подключаюсь по vpn под другим пользователем к тому же zyxel, вижу роутер 192.168.1.1, но, опять же, не вижу 192.168.0.1 и устройств за ним. А как раз это и надо изначально - подключиться по vpn к zyxel, т.к. у него статический ip, и зайти, например, на 192.168.0.30 через web.
Нужно глянуть какие адреса получает после подключения и телефон и zyxel иии на телефоне скорее всего не получится и вот почему ... я не уверен но кажется VPN туннель на телефоне не меняет шлюз по умолчанию (могу ошибаться) А если так то ... все что в сети 192.168.0.0/24 за пределами локальных для телефона адресов, не лежит в сети VPN туннеля и... будет отправлено в шлюз по умолчанию телефона а оттуда в инет и там никого не найдет ... Я не уверен что можно прописать маршрутизацию для сети 192.168.0.0/24 на самом телефоне чтоб он отправлял эти пакеты в Туннель на 172.16.1.1 а по другому они уйдут в сеть провайдера интернета и там No Route To Host Как вариант - на Zyxel настроить проброс конкретных портов с перенаправлением на к онкретный web сервер в сети 192.168.0.0/24 и обращаться с телефона не на 192.168.0.*** а на 172.16.1.1:87 (на Zyxel) где настроен проброс порта 87 на 192.168.0.***:80 TCP и так для каждого порта который нужен ....
С телефона подключилась по vpn, зашла с компа на zyxel (vpn сервер), появилось активное подключение 172.16.1.4 (172.16.1.2 уже было - это туннель с клиентом ) Про проброс портов не совсем понятно. Это надо на сервере сделать? zyxel 192.168.1.1 , доступ нужен к 192.168.0.30. Это как-то так:
да я бы сказал что именно так и из браузера обращение вида http://172.16.1.1:87 должно вести на вэб сервер датчика на 192.168.0.30 как по мне должно сработать
Пробовала так. Не хочет. А возможно ли сделать подключение по внешнему ip. Т.е. туннель работает. На телефоне или компе, не устанавливая vpn соединения, набираем в браузере внешний белый ip zyxel, указываем порт и попадаем на web датчика. Наверное, надо порт прописать для датчика. Или с внешнего ip не получится?
можно и на внешнем адресе такое перенаправление попробовать - никто не запрещал вроде вполне работоспособный вариант и в том правиле что было на скрине выше никто не мешает попробовать вариант с указанием не сети 172.16.1.0/24 а конкретно роутера 172.16.1.1 с маской 255.255.255.255 может и заработает ... кроме этого проверить из zyxel я пинг на 192.168.0.30 проходит или нет (должен проходить) недостатком варианта с внешним IP будет открытость этого датчика миру а как его защитили от взлома и проникновения - большой вопрос ... Примером могут стать массовые автоматизированные взломы систем видеонаблюдения ... в инете много на эту тему и статей и роликов
Вопрос не совсем по теме. Надо дать возможность зайти на микротик по внешнему ip. На один день, для настройки. Добавила правило в NAT, firewall - зайти по внешнему ip не получилось. В services разрешила доступ с любой сети. Зашла по внешнему ip. Но, мне кажется, это не корректно. М.б. подскажете, где прочитать про проброс портов. Надо попасть не на устройство в локальной сети за микротиком, а на сам микротик. Набрать в адр.строке внешний ip и попасть на микротик.
За доступ к winbox отвечают несколько вещей одновременно 1. Сам сервер winbox его настройка порта и откуда с каких сетей и адресов он будет доступен https://c2n.me/40pZ9Sw 2. Mac WinBox - доступ средствами winBox по mac адресу - там нет IP адресации поэтому регулируется в разделе Tools/MacServer указывается список интерфейсов (InterfaceList) с которых допустимо отзываться Естественно в умолчательной конфигурации роутера порт выделены для инета в этот список не попадает https://clip2net.com/s/40pZnVQ 3. Пользователь от имени которого осуществляется вход тоже имеет свои настройки ограничений (по умолчанию они пустые) https://c2n.me/40pZS3j Это то что касается работы самого сервиса WinBox в принципе по Вашему Вопросу Доступ извне на время дать конечно можно но это риск что будут все кому не лень стучаться туда и перебирать пароли или пробовать эксплуатировать уязвимости более ранних прошивок чтоб прочитать информацию с роутера и войти без пароля интересное видео на эту тему Поэтому на входе в умолчательной конфигуации нет разрешения входить на роутер извне 1. Можно добавить правило в цепочку Iput c разрешением для порта обозначенного как сервер WinBox у Вас (можно сделать его не стандартным в ip\services ) и входящим внешним интерфейсом (тем с которого приходит инет) но оставлять так - это риск Это правило нужно дополнить каким-то ограничением например а) либо статическим адресом в разделе Source с которого будет доступ и он нам известен и не изменен https://c2n.me/40q1ep0 б) Либо в разделе Advanced дополнить списком откуда разрешено работать этому правилу https://c2n.me/40q1ltH и в этот список внести и статические адреса и символьные имена и сети и при необходимости дополнять его динамически например вот так добавить правило https://c2n.me/40q1H79 https://c2n.me/40q1Oht (надеюсь ясно что номер порта выбирается случайно и подальше от номера самого винбокса чтоб сканеры портов перебирая последовательно не смогли добраться от случайного до порта винбокса за отведенный промежуток времени и получить любой ответ ) это позволит динамически добавлять в разрешенный список адреса предварительно выполнив простое действие (PortKnocking) например прямо в винбоксе обратиться по внешнему адресу и порту затем сменив порт (или убрав если он 8291) зайти в винбокс в винбоксе набрать 1.2.3.4:1234 (это добавит Ваш IP в разрешительный список) за 20 секунд успеть исполнить 1.2.3.4:8291 И уже совсем о вашей ситуации т.к. у Вас микротик за другим роутером то на Zyxel е тоже нужно будет делать правило для проброса маркерного порта (1234) так же как и для порта микротика чтоб он вообще смог получить эти пакеты . Но если Вы уже заходили извне на микротик то как это делать Вы знаете и умеете Надеюсь достаточно подробно
