VPN Ipsec маршрутизация в локальную сеть

Эта ветка закрыта для дальнейших ответов. Вы можете создать новую тему, чтобы поделиться своими идеями или задать вопросы.

VPN Ipsec маршрутизация в локальную сеть

Эта ветка закрыта для дальнейших ответов. Вы можете создать новую тему, чтобы поделиться своими идеями или задать вопросы.
VPN Ipsec маршрутизация в локальную сеть
VPN Ipsec маршрутизация в локальную сеть
2017-01-07 13:03:53
Название темы: VPN Ipsec маршрутизация в локальную сеть
Аппаратная версия устройства: ver 1.0
Провайдер: Maxnet
Тип подключения: Static IP
Описание проблемы: Добрый день. Подскажите пожалуйста как в моем случае прописать статические маршруты в локальную сеть. Расскажу более подробно. Есть центральный офис в котором установлен multuhomed dc (внешний интерфейс 192.168.1.104, MASK 255.255.255.0, GATE 192.168.1.100, внутренний интерфейс локалки 192.168.0.1, MASK 255.255.255.0 GATE 192.168.0.1 DNS 192.168.0.1 ), маршрутизация на DC происходит через Kerio. На входе перед DC установлен роутер TP-Link TL-ER6020 (192.168.1.100). Есть удаленный офис где также установлен TP-Link TL-ER6020 (192.168.2.1), между двумя TP-Link поднят ipsec vpn. Какие на этих двух устройствах необходимы маршруты для доступа к локальным ресурсам одной подсети и другой подсети ? И как их прописать. Заранее спасибо за ответ.
Уровень сигнала от основного роутера: 4-5 делений
  0      
  0      
#1
Опции
9 Ответить
Re: VPN Ipsec маршрутизация в локальную сеть
2017-01-09 13:32:25
Вообще, при стандартной схеме подключения, когда
в wan-порты маршрутизаторов подключены кабели провайдеров,
и
эти же маршрутизаторы являются шлюзами по-умолчанию в локальных сетях для компьютеров в этих сетях,
достаточно просто произвести настройку ipsec по инструкции


необходимые маршруты будут прописаны автоматически

связь между пк в lan маршрутизатора №1, и пк в lan маршрутизатора №2, будет работать сразу после поднятия туннеля в списке туннелей
антивирусы на пк должны быть отключены, Windows Firewall тоже


Как я понимаю, вам пришлось настроить проброс портов 500 и 4500 для работы ipsec.

Я думаю, при вашей схеме сети, возможно еще понадобится настроить режим работы Classic на маршрутизаторах
http://www.tp-linkru.com/faq-676.html
  0  
  0  
#1
Опции
Re: VPN Ipsec маршрутизация в локальную сеть
2017-01-12 11:01:12
Маршруты действительно прописаны автоматом при настройке vpn между двумя роутерами, но они прописаны между подсетью 2.1 и подсетью 1.1, а за сетью 1.1 находиться локальная сеть 0.1 вот туда маршруты автоматом не прописались, я дописывал их вручную но толку нет. Kerio который занимается маршрутизацией между 1.1 и 0.1 пакеты не блокирует, в логах пусто. Т.е пакеты до него не доходят. Для более ясной картины прикладываю картинку моей схемы сети https://cloud.mail.ru/public/C8ST/Y3XbzAdhi.

P.S. Режим Classic mode пробовал, не помогает.
P.P.S С компьютера в филиале я ping'ую только Eth1 находящийся в центральном офисе, а мне нужна маршрутизация в сеть 0.1 (Eth2).
  0  
  0  
#1
Опции
Re: VPN Ipsec маршрутизация в локальную сеть
2017-01-28 13:23:25
Да, это проблема т.к. в 6020 нельзя прописывать маршруты в VPN т.е. используется только тот, что создается сам в соответствии с данными в настройках IPsec.
Я бы попробовал так:
маршрут на 6020(в центральном офисе) dest 192.168.0.0 mask 255.255.255.0 next hop 192.168.1.104
В multi-nets NAT добавить 192.168.0.0/24
В настройке IPsec филиала прописать remote subnet 192.168.0.0/23 (255.255.254.0)
В настройке IPsec центрального офиса тоже самое в local subnet.

Как-то так на мой взгляд придумывать костыли, не уверен, что 6020 даст в настройках IPsec такое прописать, но есть вероятность. Если попробуете- отпишитесь, любопытно.
  0  
  0  
#1
Опции
Re: VPN Ipsec маршрутизация в локальную сеть
2017-02-03 06:08:51
[quote="Elusion"]Да, это проблема т.к. в 6020 нельзя прописывать маршруты в VPN т.е. используется только тот, что создается сам в соответствии с данными в настройках IPsec.
Я бы попробовал так:
маршрут на 6020(в центральном офисе) dest 192.168.0.0 mask 255.255.255.0 next hop 192.168.1.104
В multi-nets NAT добавить 192.168.0.0/24
В настройке IPsec филиала прописать remote subnet 192.168.0.0/23 (255.255.254.0)
В настройке IPsec центрального офиса тоже самое в local subnet.

Как-то так на мой взгляд придумывать костыли, не уверен, что 6020 даст в настройках IPsec такое прописать, но есть вероятность. Если попробуете- отпишитесь, любопытно.[/quote]
Попробовал по вашей рекомендации поменять настройки vpn. Ровно тоже самое. Пинг из 2.0 до 1.0 проходят, до 0.1 пинги не идут. Так что увы...ничего не получается. Прийдется какие то другие варианты придумать.
  0  
  0  
#1
Опции
Re: VPN Ipsec маршрутизация в локальную сеть
2017-04-26 10:05:19
Точно такая же проблема.
IPsec настроен Lan-to-Lan 2.1 с одной стороны 1.1 с другой стороны, друг-друга видят все нормально. А вот подсеть 3.1 за 2.1 не видно. Два дня уже бьюсь, подумываю сдать TL-ER6020 обратно в магаз.
  0  
  0  
#1
Опции
Re: VPN Ipsec маршрутизация в локальную сеть
2017-04-26 10:33:15
Сдавайте смело. Если конечно у вас нет других вариантов настройки. Ибо я промучался почти три месяца с этой проблемой и пришел к выводу что данный TP-Link этого не умеет. Ну в принципе на что и обращали внимание другие участники этого форума. Лично я решил проблему разносом всех своих серверов по виртуалкам и всем серверам дал адреса из подсети 1.1. После этого все заработало.

Если у вас много подсетей а бюджет ограничен обратите свое внимание на Микротики (Microtik), можно найти недорогой экземпляр а функционал на голову выше многих других девайсов.
______________________________________________ [quote="kapacb"]Точно такая же проблема.
IPsec настроен Lan-to-Lan 2.1 с одной стороны 1.1 с другой стороны, друг-друга видят все нормально. А вот подсеть 3.1 за 2.1 не видно. Два дня уже бьюсь, подумываю сдать TL-ER6020 обратно в магаз.[/quote]
  0  
  0  
#1
Опции
Re: VPN Ipsec маршрутизация в локальную сеть
2017-04-26 10:52:35
[quote="Wargus1987"]Сдавайте смело. Если конечно у вас нет других вариантов настройки. Ибо я промучался почти три месяца с этой проблемой и пришел к выводу что данный TP-Link этого не умеет. Ну в принципе на что и обращали внимание другие участники этого форума. Лично я решил проблему разносом всех своих серверов по виртуалкам и всем серверам дал адреса из подсети 1.1. После этого все заработало.

Если у вас много подсетей а бюджет ограничен обратите свое внимание на Микротики (Microtik), можно найти недорогой экземпляр а функционал на голову выше многих других девайсов. [/quote]
Казалось бы, что может быть проще, завернуть один маршрут, а дорогущая железяка этого не умеет.
Смотрю сейчас на сообщение о бета-прошивке и думаю, может тут это исправлено?! Не пробовали?
  0  
  0  
#1
Опции
Re: VPN Ipsec маршрутизация в локальную сеть
2017-04-26 11:04:45
[quote="kapacb"][quote="Wargus1987"]Сдавайте смело. Если конечно у вас нет других вариантов настройки. Ибо я промучался почти три месяца с этой проблемой и пришел к выводу что данный TP-Link этого не умеет. Ну в принципе на что и обращали внимание другие участники этого форума. Лично я решил проблему разносом всех своих серверов по виртуалкам и всем серверам дал адреса из подсети 1.1. После этого все заработало.

Если у вас много подсетей а бюджет ограничен обратите свое внимание на Микротики (Microtik), можно найти недорогой экземпляр а функционал на голову выше многих других девайсов. [/quote]
Казалось бы, что может быть проще, завернуть один маршрут, а дорогущая железяка этого не умеет.
Смотрю сейчас на сообщение о бета-прошивке и думаю, может тут это исправлено?! Не пробовали?[/quote]
Новую прошивку не пробовал. Попробуйте, может что то и заработает. Я на тот момент столько намучался с этим устройством что мне проще было все переделать заново и разместить все устройства в первой подсети. Что в последствии я и сделал.
  0  
  0  
#1
Опции
Re: VPN Ipsec маршрутизация в локальную сеть
2017-12-21 11:18:53
Люди, вы чтот не то пишете! Использую ТП-Линки уже лет 7 !! ER6120 всё отлично! Они (ТП-Линки) не являются основными шлюзами, стоят в сети с произвольными адресами. На компах и серверах которые ходят в удалённую сеть просто прописано Route РУКАМИ ! или политикой накатите кому нужно.
route add -p 192.168.1.0 mask 255.255.255.0 192.168.2.254
192.168.1.0 удалённая целевая сеть, маска понятно что маска, 192.168.2.254 - адрес ТП-Линка через который должны улетать пакеты в сеть 192.168.1.0 из сети 192.168.2.0
и всё! вообще никаких проблем, что вам мешает прописать это там где нужно?? и зачем вы вообще настраиваете, чтобы все устройства видели или ходили в другую подсеть (филиал/регион). Вам мало своего трафика в сети? :D
  0  
  0  
#1
Опции

Информация

Поблагодарили: 0

Просмотры: 4475

Ответы: 9