Не работает маршрутизация при создании PPTP клиент-сервер

[yaskovit]

Аппаратная версия устройства: 1.0
Версия прошивки: 1.1.0 Build 20141031 Rel.32628s
Ваша страна: Россия
Название провайдера: МТС
Тип подключения: 3G Dynamic IP
Скорость по тарифу: 10 Мбит/с
Подключение с ПК по wifi или по кабелю?: по кабелю
Наблюдается проблема, когда нет нагрузки?: да
Что пишется в статусе Вашего подключения при проблеме?: подключен
Наблюдается ли проблема при подключении без роутера?: нет
Ваша операционная система: WIN 7




Есть 3G LTE роутер huawei CPE B593(192.168.3.1), с симкой МТС, раздает инет, за ним стоит TP-Link(WAN 192.168.3.2, LAN 192.168.0.0/24), на котором настроен PPTP туннель , клиент-сервер, TP-Link в роли клиента, удаленная сеть 192.168.77.0/27. Туннель поднимается, не видит удаленную сеть с ноутбука, подключенного к TP-Link'у, пингуется только ip, выданный VPN-сервером TP-Link'у, т.е. даже не пингуется внутренний адрес самого впн-сервера, к которому поднят впн-туннель, соответственно и маршруты не работают. При исключении из связки TP-Link'а , и создании подключения VPN из ОС, все работает. Может маршрут какой надо статический прописать? но как я понял, он сам пишет маршрут, когда указана Remote subnet...


Upd: Попробовал воткнуть шнурок нормального провайдера в сам роутер, ситуация не изменилась...

[Vladr]

вот я вижу разницу, как поднимается у Вас туннель.
У Вас 192.168.1.0 заруливается на шлюз 10.0.0.1, что логично.
У меня почему-то заруливается на шлюз 192.168.1.1, чего я ну никак не ожидаю, т.к. клиентское подключение описано вот так http://www.floomby.ru/s2/pUk6s2
Я как бы предполагал, что должен быть маршрут на адрес удаленного VPN сервера для интерфейса VPN-1

С адресацией тут проблем не должно быть, я ведь использую маску 24, адресные пространства не пересекаются.
Ведь с подсетью 192.168.102.0/24 по моей таблице маршрутов проблемы нет. Правда это туннель IPSec LAN-to-LAN.
К сожалению инициировать туннель с TP-Link в сторону второй площадки, где старый Зухель не могу, нет там VPN-сервера и оборудования подходящего больше нет.

Но над сменой адреса подсети я подумаю. Проблематично конечно, но можно будет сменить адресацию на Зухеле.

PS О! Надо попробовать на втором TP-Link (подсеть 192.168.102.0/24) переделать с IPSec на конфигурацию PPTP-сервер/клиент.

[mesb]

Адреса формата 10.0.0 у меня выдаёт pptp на центосе.
У вас получается что именно зиксель выдаёт тплинку адреса в тоннель вида 192.168.1.
По идее не должно так быть. Возможно именно этот нюанс кого-то в этой цепочке смущает.
Посмотрите в настройки зикселя, что там стоит для раздачи адресов впн тоннелей.
По идее эта сетка должна быть отличной от адресации локалки за зикселем.

UPD:
У вас же там кинетики вроде?
http://zyxel.ru/kb/3984
Есть там этот нюанс. Оттуда же выдержка на прошлой странице другим оратором приведена.

[Vladr]

Да. Этот момент знаю. Там для PPTP клиентов выделен отдельный пул адресов, не пересекающихся с клиентами DHCP, хоть и из того же пространства. Согласно статье с Зухеля это не противоречит и допустимо.
Ведь когда с другого кинетика поднимается клиентский туннель, все нормально работает.
смотрел не том Кинетике в статусе VPN сервера, там два туннеля подняты и розданы правильно IP для клиентов, именно из того пула адресов, который определен для VPN.
192.168.1.1 для самого кинетика
192.168.1.20-192.168.1.30 - зарезервирована статика серверам
192.168.1.35-192.168.1.45 - динамическая адресация для клиентов
192.168.1.50-192.168.1.89 - зарезервирована статика постоянным хостам
192.168.1.90-192.168.1.99 - зарезервирована статика принтерам
192.168.1.150-192.168.1.159 - пул для PPTP сервера

нет пересечения

Посмотрите в настройки зикселя, что там стоит для раздачи адресов впн тоннелей.

На Зухеле все примитивно.
http://www.floomby.ru/s2/FUkbpA


попробовал с TP-Link (Т1) клиент РРТР на TP-Link (Т2) Сервер РРТР
Маршруты создаются именно так, как ожидал (интерфейс vpn-2). http://www.floomby.ru/s2/PUkb8d
Клиент записан точно так же, как и к Зухелю, но шлюз получается именно тот, который ожидал - адрес удаленного VPN-сервера
Правда все равно не получается пинговать с хоста за Т1 хост за Т2

Да, видимо Зухель и TP-Link просто не хотят дружить

[mesb]

Просто попробуйте выдавать впн клиентам адреса вообще из другой подсети.
Возможно в случае зикселя они не учитывали что там ещё будут тоннели достраиваться.
В нормальных сетях неделают такой порнографии кмк.

А что это в разделе доступа к сети?
Какие там ещё естьв арианты на выбор?

[Vladr]

В нормальных сетях неделают такой порнографии кмк.

Ну почему же? Это не противоречит логике. Плюс к этому, я попадаю в адресное пространство той сети, а значит мне не надо думать о необходимости формирования дополнительной маршрутизации, чтобы получить доступ к хостам

[Vladr]

А что это в разделе доступа к сети?
Какие там ещё естьв арианты на выбор?

там еще открыта гостевая вафля. Вот либо к ней либо к локалке. Если бы была организована еще одна VLAN, то еще и она появилась бы в списке на выбор

[mesb]

Вобщем я за то чтоб попробовать скажем оставить локалку за зикселем 192.168.1.0/24 , впн же заставить выдавать как я например 10.1.1.2-10.
И посмотреть что будет далее

[Vladr]

попробовал.
задал для VPN-сервера адресное пространство 173....
Смотрю, поднялись оба туннеля, с TP-Link и кинетика.
пингую с хоста за кинетиком. На этом туннеле показывает трафик вход ICMP пакетов и ответ.
на туннеле с TP-Link-ом пингую, счетчик трафика входящего увеличивается на размер ICMP пакетов, ответ нет... Где-то в Зухеле это все умирает...
В файерволе никаких правил не описано... Т.е. весь трафик должен пропускаться

[Boris]

Замените этот кинетик на ещё один 604W и не мучайтесь, всё равно ничего не получится. А этот кинетик поставьте кому-нибудь для домашнего использования.
https://market.yandex.ru/product/104621 ... W&srnum=48
5000 цена вопроса. Для бизнес решения - это смешные деньги.

[Vladr]

Да меня не сильно парит поднять туннель с компа на тот зухель. Хотелось красиво сделать.
Ну и там люди не будут менять кинетик.
Ладно. Вопрос закрыт.