VPN Ipsec маршрутизация в локальную сеть

Гигабитный VPN маршрутизатор на базе технологии SafeStream™ с поддержкой нескольких WAN
Wargus1987
Сообщения: 5
Зарегистрирован: 07 янв 2017, 15:41
Страна: Россия

VPN Ipsec маршрутизация в локальную сеть

Сообщение Wargus1987 » 07 янв 2017, 16:03

Название темы: VPN Ipsec маршрутизация в локальную сеть
Аппаратная версия устройства: ver 1.0
Провайдер: Maxnet
Тип подключения: Static IP
Описание проблемы: Добрый день. Подскажите пожалуйста как в моем случае прописать статические маршруты в локальную сеть. Расскажу более подробно. Есть центральный офис в котором установлен multuhomed dc (внешний интерфейс 192.168.1.104, MASK 255.255.255.0, GATE 192.168.1.100, внутренний интерфейс локалки 192.168.0.1, MASK 255.255.255.0 GATE 192.168.0.1 DNS 192.168.0.1 ), маршрутизация на DC происходит через Kerio. На входе перед DC установлен роутер TP-Link TL-ER6020 (192.168.1.100). Есть удаленный офис где также установлен TP-Link TL-ER6020 (192.168.2.1), между двумя TP-Link поднят ipsec vpn. Какие на этих двух устройствах необходимы маршруты для доступа к локальным ресурсам одной подсети и другой подсети ? И как их прописать. Заранее спасибо за ответ.
Уровень сигнала от основного роутера: 4-5 делений
Victor
Модератор
Модератор
Сообщения: 423
Зарегистрирован: 02 дек 2012, 03:32
Страна: Россия

Re: VPN Ipsec маршрутизация в локальную сеть

Сообщение Victor » 09 янв 2017, 16:32

Вообще, при стандартной схеме подключения, когда
в wan-порты маршрутизаторов подключены кабели провайдеров,
и
эти же маршрутизаторы являются шлюзами по-умолчанию в локальных сетях для компьютеров в этих сетях,
достаточно просто произвести настройку ipsec по инструкции
http://static.tp-link.com/res/down/doc/ ... ide_V2.pdf

необходимые маршруты будут прописаны автоматически

связь между пк в lan маршрутизатора №1, и пк в lan маршрутизатора №2, будет работать сразу после поднятия туннеля в списке туннелей
антивирусы на пк должны быть отключены, Windows Firewall тоже


Как я понимаю, вам пришлось настроить проброс портов 500 и 4500 для работы ipsec.

Я думаю, при вашей схеме сети, возможно еще понадобится настроить режим работы Classic на маршрутизаторах
http://www.tp-linkru.com/faq-676.html
Wargus1987
Сообщения: 5
Зарегистрирован: 07 янв 2017, 15:41
Страна: Россия

Re: VPN Ipsec маршрутизация в локальную сеть

Сообщение Wargus1987 » 12 янв 2017, 14:01

Маршруты действительно прописаны автоматом при настройке vpn между двумя роутерами, но они прописаны между подсетью 2.1 и подсетью 1.1, а за сетью 1.1 находиться локальная сеть 0.1 вот туда маршруты автоматом не прописались, я дописывал их вручную но толку нет. Kerio который занимается маршрутизацией между 1.1 и 0.1 пакеты не блокирует, в логах пусто. Т.е пакеты до него не доходят. Для более ясной картины прикладываю картинку моей схемы сети https://cloud.mail.ru/public/C8ST/Y3XbzAdhi.

P.S. Режим Classic mode пробовал, не помогает.
P.P.S С компьютера в филиале я ping'ую только Eth1 находящийся в центральном офисе, а мне нужна маршрутизация в сеть 0.1 (Eth2).
Elusion
Сообщения: 159
Зарегистрирован: 18 окт 2014, 11:45
Страна: Россия

Re: VPN Ipsec маршрутизация в локальную сеть

Сообщение Elusion » 28 янв 2017, 16:23

Да, это проблема т.к. в 6020 нельзя прописывать маршруты в VPN т.е. используется только тот, что создается сам в соответствии с данными в настройках IPsec.
Я бы попробовал так:
маршрут на 6020(в центральном офисе) dest 192.168.0.0 mask 255.255.255.0 next hop 192.168.1.104
В multi-nets NAT добавить 192.168.0.0/24
В настройке IPsec филиала прописать remote subnet 192.168.0.0/23 (255.255.254.0)
В настройке IPsec центрального офиса тоже самое в local subnet.

Как-то так на мой взгляд придумывать костыли, не уверен, что 6020 даст в настройках IPsec такое прописать, но есть вероятность. Если попробуете- отпишитесь, любопытно.
Wargus1987
Сообщения: 5
Зарегистрирован: 07 янв 2017, 15:41
Страна: Россия

Re: VPN Ipsec маршрутизация в локальную сеть

Сообщение Wargus1987 » 03 фев 2017, 09:08

Elusion писал(а):Да, это проблема т.к. в 6020 нельзя прописывать маршруты в VPN т.е. используется только тот, что создается сам в соответствии с данными в настройках IPsec.
Я бы попробовал так:
маршрут на 6020(в центральном офисе) dest 192.168.0.0 mask 255.255.255.0 next hop 192.168.1.104
В multi-nets NAT добавить 192.168.0.0/24
В настройке IPsec филиала прописать remote subnet 192.168.0.0/23 (255.255.254.0)
В настройке IPsec центрального офиса тоже самое в local subnet.

Как-то так на мой взгляд придумывать костыли, не уверен, что 6020 даст в настройках IPsec такое прописать, но есть вероятность. Если попробуете- отпишитесь, любопытно.


Попробовал по вашей рекомендации поменять настройки vpn. Ровно тоже самое. Пинг из 2.0 до 1.0 проходят, до 0.1 пинги не идут. Так что увы...ничего не получается. Прийдется какие то другие варианты придумать.
kapacb
Сообщения: 2
Зарегистрирован: 26 апр 2017, 12:59
Страна: Russia

Re: VPN Ipsec маршрутизация в локальную сеть

Сообщение kapacb » 26 апр 2017, 13:05

Точно такая же проблема.
IPsec настроен Lan-to-Lan 2.1 с одной стороны 1.1 с другой стороны, друг-друга видят все нормально. А вот подсеть 3.1 за 2.1 не видно. Два дня уже бьюсь, подумываю сдать TL-ER6020 обратно в магаз.
Wargus1987
Сообщения: 5
Зарегистрирован: 07 янв 2017, 15:41
Страна: Россия

Re: VPN Ipsec маршрутизация в локальную сеть

Сообщение Wargus1987 » 26 апр 2017, 13:33

Сдавайте смело. Если конечно у вас нет других вариантов настройки. Ибо я промучался почти три месяца с этой проблемой и пришел к выводу что данный TP-Link этого не умеет. Ну в принципе на что и обращали внимание другие участники этого форума. Лично я решил проблему разносом всех своих серверов по виртуалкам и всем серверам дал адреса из подсети 1.1. После этого все заработало.

Если у вас много подсетей а бюджет ограничен обратите свое внимание на Микротики (Microtik), можно найти недорогой экземпляр а функционал на голову выше многих других девайсов.
______________________________________________
kapacb писал(а):Точно такая же проблема.
IPsec настроен Lan-to-Lan 2.1 с одной стороны 1.1 с другой стороны, друг-друга видят все нормально. А вот подсеть 3.1 за 2.1 не видно. Два дня уже бьюсь, подумываю сдать TL-ER6020 обратно в магаз.
kapacb
Сообщения: 2
Зарегистрирован: 26 апр 2017, 12:59
Страна: Russia

Re: VPN Ipsec маршрутизация в локальную сеть

Сообщение kapacb » 26 апр 2017, 13:52

Wargus1987 писал(а):Сдавайте смело. Если конечно у вас нет других вариантов настройки. Ибо я промучался почти три месяца с этой проблемой и пришел к выводу что данный TP-Link этого не умеет. Ну в принципе на что и обращали внимание другие участники этого форума. Лично я решил проблему разносом всех своих серверов по виртуалкам и всем серверам дал адреса из подсети 1.1. После этого все заработало.

Если у вас много подсетей а бюджет ограничен обратите свое внимание на Микротики (Microtik), можно найти недорогой экземпляр а функционал на голову выше многих других девайсов.


Казалось бы, что может быть проще, завернуть один маршрут, а дорогущая железяка этого не умеет.
Смотрю сейчас на сообщение о бета-прошивке и думаю, может тут это исправлено?! Не пробовали?
Wargus1987
Сообщения: 5
Зарегистрирован: 07 янв 2017, 15:41
Страна: Россия

Re: VPN Ipsec маршрутизация в локальную сеть

Сообщение Wargus1987 » 26 апр 2017, 14:04

kapacb писал(а):
Wargus1987 писал(а):Сдавайте смело. Если конечно у вас нет других вариантов настройки. Ибо я промучался почти три месяца с этой проблемой и пришел к выводу что данный TP-Link этого не умеет. Ну в принципе на что и обращали внимание другие участники этого форума. Лично я решил проблему разносом всех своих серверов по виртуалкам и всем серверам дал адреса из подсети 1.1. После этого все заработало.

Если у вас много подсетей а бюджет ограничен обратите свое внимание на Микротики (Microtik), можно найти недорогой экземпляр а функционал на голову выше многих других девайсов.


Казалось бы, что может быть проще, завернуть один маршрут, а дорогущая железяка этого не умеет.
Смотрю сейчас на сообщение о бета-прошивке и думаю, может тут это исправлено?! Не пробовали?


Новую прошивку не пробовал. Попробуйте, может что то и заработает. Я на тот момент столько намучался с этим устройством что мне проще было все переделать заново и разместить все устройства в первой подсети. Что в последствии я и сделал.

Вернуться в «TL-ER6020»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость