Название темы: Непонятности роутинга между подсетями при VPN
Аппаратная версия устройства: HW: v1.0 FW: 1.1.1 Build 20160622 Rel.37338s
Описание проблемы: На аппарате настроен L2TP/IPsec сервер, с диапазоном адресов для клиентов 192.168.99.31-49
При соединениях клиент-сервер (client to lan) клиенты получают нужный ip и вполне себе живут в своей указанной песочнице, при этом сервисы (например RDP) между этими адресами работают, но пинг между ними не ходит ( то есть с клиента, подключенного с 31 адресом не пингуется клиент подключенный с 32 адресом, но RDP сессию открывает). Локальный адрес маршрутизатора (99.1) пингуется всеми.
Странно, что возможна только одна комбинация логин/адрес.
Появилась необходимость связать 2 сети, тут пришлось использовать РРТР сервис (по озвученной выше причине, комбинация 0.0.0.0 была уже занята, второй сервер можно организовать для подключения только с определённого адреса, а удалённый роутер имеет динамический адрес). Соединение Site-to-Site настраивал по инструкции с сайта, клиент на удалённом роутере подключается к серверу на локальном, для VPN coдинения указал адрес 172.16.1.30, прошло без сложностей, клиент из удалённой сети пингует 192.168.99.1 и прочие адреса в локальной сети (кроме тех, что подключены по впн в диапазоне 192.168.99.31-49, они никак и не откуда не пингуются) а вот хосты в удалённой сети 192.168.10.0 не пингуются никак. И из удалённой сети нельзя подключится по RDP к клиентам VPN 192.168.99.31-49. (хотя можно к .100, к примеру, который в локалке находится. Как сделать чтобы и в обратную сторону начало работать, и VPN песочница стала более открыта?
Дорогие пользователи! У нас появился новый форум на платформе tp-link.community (Сообщество)
Форум доступен по ссылке https://community.tp-link.com/ru
Если при регистрации в Сообществе Вы укажете адрес электронный почты, который используете на данном форуме, то Ваши данные будут перенесены на форум Сообщества автоматически.
Также, если на форуме Сообщества Ваш никнейм будет занят, то Вам предложат сменить его или оставить, но с приставкой "_RU".
Подробнее Вы можете прочитать тут: https://community.tp-link.com/ru/home/f ... pic/501542
Убедительная просьба не дублировать темы на старом/новом форуме.
Форум доступен по ссылке https://community.tp-link.com/ru
Если при регистрации в Сообществе Вы укажете адрес электронный почты, который используете на данном форуме, то Ваши данные будут перенесены на форум Сообщества автоматически.
Также, если на форуме Сообщества Ваш никнейм будет занят, то Вам предложат сменить его или оставить, но с приставкой "_RU".
Подробнее Вы можете прочитать тут: https://community.tp-link.com/ru/home/f ... pic/501542
Убедительная просьба не дублировать темы на старом/новом форуме.
Непонятности роутинга между подсетями при VPN
Правила форума
Правила форума TP-LINK lll ЧАВО lll Первичная настройка WAN роутера lll Настройка под провайдеров lll Официальные прошивки и драйверы lll
Правила форума TP-LINK lll ЧАВО lll Первичная настройка WAN роутера lll Настройка под провайдеров lll Официальные прошивки и драйверы lll
Re: Непонятности роутинга между подсетями при VPN
Приветствую
1. По l2tp/ipsec:
Клиентами тут выступают компьютеры, так? Попробуйте на них отключить антивирус и брандмауэр, зачастую именно они отбрасывают icmp пакеты.
2. С рртр:
Аналогичная ситуация, чаще всего, на практике, именно фаерволл влияет на эту ситуацию, он просто отбрасывает icmp пакеты считая их "подозрительными" с адресами из другой подсети.
Вы пишите, что настроили соединение site-to-site, что с другой стороны у вас в этом туннеле?
Из этого соединения Вы не сможете подключиться к клиентам l2tp/ipsec - эти клиенты действительно живут в своей "песочнице"
1. По l2tp/ipsec:
Клиентами тут выступают компьютеры, так? Попробуйте на них отключить антивирус и брандмауэр, зачастую именно они отбрасывают icmp пакеты.
2. С рртр:
Аналогичная ситуация, чаще всего, на практике, именно фаерволл влияет на эту ситуацию, он просто отбрасывает icmp пакеты считая их "подозрительными" с адресами из другой подсети.
Вы пишите, что настроили соединение site-to-site, что с другой стороны у вас в этом туннеле?
Из этого соединения Вы не сможете подключиться к клиентам l2tp/ipsec - эти клиенты действительно живут в своей "песочнице"
Re: Непонятности роутинга между подсетями при VPN
Виктор спасибо за ответ.
Собственно, задача была вполне классическая - связать 2 филиала и обеспечить доступ к этой объединенной сети с удалённых рабочих станций. В итоге так и не смог настроить доступ к ресурсам филиала из основной сети, как для локальных, так и для удалённых подключений. Настраивал все строго по инструкциям с сайта.
Пришлось заменить оборудование, с новым всё сразу заработало как нужно, ну и как бонус - на порядок (а то и пару) быстрее. Никакие настройки на клиентских машинах не трогал, ибо есть золотое правило - всё должно работать строго на типовой конфигурации win/mac пользователя "по умолчанию", без вмешательств в настройки, доустановки софта и прочего. На 604 l2tp/ipsec подключение с windows клиента больше 2 Мбит не давало (не знаю почему была такая небольшая скорость, заявлена была быстрее, может настройки нужно было покрутить, но так как прямое копирование было редко, в основном работа на сервере по RDP, то это не являлось проблемой) то теперь доступно во всю ширину канала 100мбит. Железки по цене сравнимые, но 604 старее лет на 5-6 по железу, новая железка из домашнего сегмента 18года.
Вообще 604 показал себя довольно странной железкой. Стабильной работы удалось добиться только после настройки перезагрузки (внешним скриптом) раз в 2 дня, до этого рамдомно зависал, при этом мог зависнуть через месяц, а мог и через 3 дня. (шаг в 2 дня выбран исключительно экспериментальным путём, при нём зависания прекратились). На расстоянии 8 метров (без стен, но диапазон зашумлён) скорость WiFi падала практически до нуля, и сам WiFi при 10-12 клиентах периодически отваливался наглухо, пришлось поставить дополнительную точку, которая решила эти проблемы. Довольно дурацкое ограничение для l2tp сервера - можно создать только одну пару логин/удалённый адрес, то есть все обычные клиенты которые подключаются с неизвестного заранее адреса имеют один аккаунт, и их невозможно верифицировать/разводить по своим песочницам.
Думаю куда бы их теперь применить. Корпус хороший, но вот с остальным беда.
Собственно, задача была вполне классическая - связать 2 филиала и обеспечить доступ к этой объединенной сети с удалённых рабочих станций. В итоге так и не смог настроить доступ к ресурсам филиала из основной сети, как для локальных, так и для удалённых подключений. Настраивал все строго по инструкциям с сайта.
Пришлось заменить оборудование, с новым всё сразу заработало как нужно, ну и как бонус - на порядок (а то и пару) быстрее. Никакие настройки на клиентских машинах не трогал, ибо есть золотое правило - всё должно работать строго на типовой конфигурации win/mac пользователя "по умолчанию", без вмешательств в настройки, доустановки софта и прочего. На 604 l2tp/ipsec подключение с windows клиента больше 2 Мбит не давало (не знаю почему была такая небольшая скорость, заявлена была быстрее, может настройки нужно было покрутить, но так как прямое копирование было редко, в основном работа на сервере по RDP, то это не являлось проблемой) то теперь доступно во всю ширину канала 100мбит. Железки по цене сравнимые, но 604 старее лет на 5-6 по железу, новая железка из домашнего сегмента 18года.
Вообще 604 показал себя довольно странной железкой. Стабильной работы удалось добиться только после настройки перезагрузки (внешним скриптом) раз в 2 дня, до этого рамдомно зависал, при этом мог зависнуть через месяц, а мог и через 3 дня. (шаг в 2 дня выбран исключительно экспериментальным путём, при нём зависания прекратились). На расстоянии 8 метров (без стен, но диапазон зашумлён) скорость WiFi падала практически до нуля, и сам WiFi при 10-12 клиентах периодически отваливался наглухо, пришлось поставить дополнительную точку, которая решила эти проблемы. Довольно дурацкое ограничение для l2tp сервера - можно создать только одну пару логин/удалённый адрес, то есть все обычные клиенты которые подключаются с неизвестного заранее адреса имеют один аккаунт, и их невозможно верифицировать/разводить по своим песочницам.
Думаю куда бы их теперь применить. Корпус хороший, но вот с остальным беда.
Re: Непонятности роутинга между подсетями при VPN
Приветствую,
Жаль, что у вас осталось такие впечатления от этой модели, но возможно, дело тут действительно в возрасте оборудования, по идее, на бета-прошивке, которая у вас стоит, работа устройства была максимально стабильной - в свое время.
Жаль, что у вас осталось такие впечатления от этой модели, но возможно, дело тут действительно в возрасте оборудования, по идее, на бета-прошивке, которая у вас стоит, работа устройства была максимально стабильной - в свое время.