Routování VPN skrze L2TP/IPSec

[migell]

Zdravím,
dokáže mi někdo prosím poradit jak nakonfigurovat MK1 a MK2 tak, abych se dostal skrze VPN na všechny subnety?

MK1
- veřejná IP
- subnet 192.168.1.0/24
- subnet 192.168.2.0/24


MK2
- subnet 192.168.3.0/24

MK2 se připojuje skrze tunel L2TP/IPSec k MK1 s veřejnou IP, z MK2 se dostanu do MK1 a obráceně. To mi vše funguje. Problém je ale v tom, že když se připojím k MK1 pomocí OpenVPN, tak se dostanu pouze na sítě pod MK1, ale sátě pod MK2 už nevidím.

Raději jsem připojil i nákres.

[maetoo]

Tiez riesim tento problem. Z MK1 na MK2 sa dostanem, tiez aj naopak. Ale cez OpenVPN sa nedostanem na MK2. Skusal som vsetko mozne, ale zatial bez uspechu. Prislo mi na rozum to, ze na MK2 cez OpenVPN neda preto pripojit, ze MK2 je vo vztahu ku MK1 ako klient, nie server. Ale este sa pokusim nejako tento problem vyriesit, aj ked mi uz napady dochadzaju.

[czatlantis]

A to OpenVPN máš v režimu IP nebo ethernet?

[migell]

OpenVPN je v režimu IP

[maetoo]

OpenVPN je v režimu IP

Presne tak. Ja mam tiez OpenVPN v rezime IP.

[migell]

Nikdo neví? Nikdo to tak nepoužívá?

[czatlantis]

A když místo OpenVPN použiješ třeba blbý PPTP tak to chodí nebo taky ne?
Mně to funguje totiž normálně i s tím OpenVPN - prostě jak popisuješ - jeden hlavní router, na něj je připojenej jinej router přes PPTP. Zase na ten hlavní router připojen mobil přes OpenVPN. Dostanu se jak do sítě v hlavním routeru, tak v té druhé síti v druhým routeru.
Sice se připojuju mezi routerama přes PPTP, ale myslím že to nebude hrát roli...

[Chrysler]

předpokládám, že na jednotlivých MK máš routy na adresy v tom druhém rozsahu?
Tj. např z MK1 routu destinaiton 192.168.3.0/24 a gateway remote IP tunelu.

[czatlantis]

jo přesně tak

[migell]

Mezi routry mám IPsec tunel, ve kterém je jsou nastavené takzvané IPsec Policies.

[Majklik]

A jakou IP adresu dostává ten OpenVPN klient? Něco z toho 192.168.1.x nebo 192.168.2.x? Jak máš nastaven routing na tom OpenVPN klientu? Potřebuješ, aby se segment 192.168.3.0/24 posílal do toho OpenVPN tunelu.
Jestli-že používáš pro spojení mezi MK1 a MK2 L2TP/IPsec, tak v IPsec vrstvě máš mít jen SPD pravidla pro vlastní přenos L2TP paketů a ne něco ohledně sítí 192.168.[1,2,3].x. Ty má řešit nastavení rout na MK1 a MK2 mířících do L2TP tunelu.
Kam ti doleze traceroute z OpenVPN klienta na nějakou IP 192.168.3.x? A naopak traceroute ze sítě 192.168.3.x mířící na IP adresu OpenVPN klienta. Od toho bych se odpíchl a zkontroloval si routy/firewall/nat.

[migell]

A jakou IP adresu dostává ten OpenVPN klient? Něco z toho 192.168.1.x nebo 192.168.2.x? Jak máš nastaven routing na tom OpenVPN klientu? Potřebuješ, aby se segment 192.168.3.0/24 posílal do toho OpenVPN tunelu.

Pro OpenVPN klienty mám speciální rozsah.

Jestli-že používáš pro spojení mezi MK1 a MK2 L2TP/IPsec, tak v IPsec vrstvě máš mít jen SPD pravidla pro vlastní přenos L2TP paketů a ne něco ohledně sítí 192.168.[1,2,3].x. Ty má řešit nastavení rout na MK1 a MK2 mířících do L2TP tunelu.
Kam ti doleze traceroute z OpenVPN klienta na nějakou IP 192.168.3.x? A naopak traceroute ze sítě 192.168.3.x mířící na IP adresu OpenVPN klienta. Od toho bych se odpíchl a zkontroloval si routy/firewall/nat.

Traceroute zkusím večer, momentálně nemám šanci to vyzkoušet.

[Daxxim]

Zdravím, řeším jiný, ale podobný problém.

MK1 - WAN - 192.168.100.X
- LAN - 10.0.0.X/24
- tunel - 10.10.10.X/24 (dhcp server pro pptp klienta)

MK2 - WAN - 192.168.50.X
- LAN - 192.168.88.X/24
- tunel - 10.10.10.30/32

Routry jsou dalo by se říci propojené v jedné síti (nekoná se komunikace přes internet) a je mezi nimi pptp tunel. V LAN u MK1 jsou nějaké UBNT routry a starý ovislink 5450. Problém je v tom, že z MK2 nepingnu ip adresu toho ovislinku, ale ubnt strojky pingnu. Z MK1 pingnu vše.

Mohl by někdo prosím poradit v čem by mohl být zakopaný pes?

[migell]

Zkus z jednotlivých LAN spustit traceroute, ať vidíš co pingáš, jestli Ti to jde vůbec správným smerem

[Daxxim]

Zkus z jednotlivých LAN spustit traceroute, ať vidíš co pingáš, jestli Ti to jde vůbec správným smerem

Právě že jde:

Kód: Vybrat vše

tracert 10.0.0.6

Výpis trasy k 10.0.0.6 s nejvýše 30 směrováními

  1    29 ms    < 1 ms    48 ms  192.168.88.1
  2    10 ms    49 ms    11 ms  10.10.10.1
  3     *        *        *     Vypršel časový limit žádosti.
  4     *        *     ^C
tracert 10.0.0.7

Výpis trasy k 10.0.0.7 s nejvýše 30 směrováními

  1    < 1 ms    < 1 ms    < 1 ms  192.168.88.1
  2   405 ms   512 ms   658 ms  10.10.10.1
  3   232 ms   281 ms   238 ms  10.0.0.7

Trasování bylo dokončeno.

10.0.0.6 - Ovislink 5450
10.0.0.7 - UBNT Nanostation M5

Myslím si, že v routování to asi nebude...