@aram_pakhchanian
Хороший человек

Как обеспечить доступ клиентов L2TP VPN сервера, которому подключен маршрутизатор, к сети за маршрутизатором?

Задача самая стандартная: сделать удобный доступ к домашней сети, которая подключена в Интернет через мобильного оператора. Надо смотреть в камеры видеонаблюдения, иногда достать какой-нибудь файл, и т.д. Задачи иметь "белый адрес" для доступа в интернет пока нет.

Что у меня есть:
1. VPS на Ubuntu 18.
2. Маршрутизатор Mikrotik с поддержкой 4G модемов (hAP AC lite), все подключено, интернет есть, через NAT, естественно. Внутренняя сеть 192.168.1.0/24, адрес маршрутизатора 192.168.1.1.

Что я уже сделал:

1. Поставил на VPS IPSEC/L2TP сервер с шифрованием. Для этого использовал готовый скрипт, который отлично отработал. Сервер создает адресный пул 192.168.42.x для клиентов VPS (начиная с .100), адрес сервера в каждом point-to-point соединении - 192.168.42.1.

2. Настроил на Microtik подключение к этому серверу. Все подключилось, все работает.

3. На Microtik создал через IP>Routes маршрут на сеть 192.168.42/24, указав в качестве Gateway ppp соединение к VPN.

4. На Ubuntu после подключения добавляю ручками маршрут:
ip route add 192.168.1.0/24 via 192.168.42.1

После этого ситуация такая:

- сам сервер видит и маршутизатор, и компьютеры за ним. Из консоли сервера все устройства пингуются, ко всем удается подключиться.

- Другим компьютерам, подключенным к тому же серверу через VPN, из устройств виден только маршрутизатор по адресу 192.168.42.100. Все остальные компьютеры внутри сети недоступны.

- Я пытался прописать маршрут на сеть 192.168.1.x на компьютере, подключенном через VPN к серверу, не помогает (ip route add 192.168.1.0/24 via 192.168.42.1). Замена адреса гейтвея на другой конец моего соединения (192.168.42.102) тоже не спасла ситуацию. traceroute останавливается на 192.168.41.1 и дальше не идет.

Изнутри сети адрес 192.168.42.100 пингуется, но остальные подключенные к VPN устройства не видны. Есть подозрение, что надо добавить какие-то правила в iptables на сервере, но я пока не понял, как.

Что можно попробовать сделать, чтобы все заработало?
  • Вопрос задан
  • 80 просмотров
Решения вопроса 1
@ru6ak
Если я правильно всё понял. Вы не правильно пишете маршрут в убунте.
192.168.42.1 это адрес сервера впн он нечего не знает про сеть за микротиком
Вам на убунте надо прописать шлюзом адрес микротика для сети 192,168,1.0 а не адрес сервере VPN
ip route add 192.168.1.0/24 via адресс микротика.

По поводу IPtables или ufw попробуйте их выключить (не знаю что именно у вас используется)

Также неплохо бы узнать что делает скрипт (мне в лом честно говоря), вполне возможно он специально ограничивает сеть для клиентов, тогда надо править скрипт.

Иногда лучше самому поднять сервис, чем доверять скрипту, функционал которого не ясен.
Тем более поднять VPN не так уже сложно, обычно это пару конфигов настроить.
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
@aram_pakhchanian Автор вопроса
Хороший человек
В общем, проблема была в запутанных правилах iptables. Удалил, написал ручками простые правила и все заработало.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы