У меня есть стандартный маршрутизатор / брандмауэр, настроенный для доступа в Интернет моей небольшой компании. Я также добавил отдельный шлюз VPN (IPSec) с использованием маршрутизатора Netgear VPN. Главный шлюз и VPN-шлюз имеют отдельные общедоступные IP-адреса, а VPN-клиенты имеют подсеть, отличную от локальной сети домашнего офиса (именно так работает Netgear - я не могу поместить их в ту же подсеть, что и все остальные).
Проблема в том, что трафик между ПК в локальной сети и клиентами VPN не маршрутизируется правильно. Клиенты LAN могут пинговать VPN-клиенты, но VPN-клиенты не могут пинговать клиентов LAN (с помощью Wireshark я вижу, что пинг доходит до клиента, но клиент не может ответить).
У меня есть запись маршрутизации на главном шлюзе, чтобы направлять весь трафик в подсеть VPN на шлюз VPN. Однако, похоже, это не помогает. Единственное решение, которое я нашел, - это добавить запись статической маршрутизации на все ПК в локальной сети, чтобы указать им на шлюз VPN для своей подсети. Однако это не работает для встроенных устройств, которые не позволяют выполнять статическую маршрутизацию.
Что я делаю не так?
Вот рассматриваемые IP-адреса / подсети (публичные адреса подделаны ради конфиденциальности):
LAN: 192.168.0.0 VPN-клиенты: 192.168.1.0
Шлюз LAN: 192.168.0.1 (WAN: 1.1.1.1) Шлюз VPN: 192.168.0.2 (WAN: 1.1.1.2)
LAN Gatway имеет маршрут 192.168.1.0 -> 192.168.0.2
У меня частичный успех с каждым компьютером, имеющим статический маршрут 192.168.1.0 -> 192.168.0.2.
редактировать:
Шлюз VPN - это межсетевой экран Netgear ProSafe VPN. FVS338, а главный шлюз - Actiontec MI424-WR (для Verizon FiOS).
Так же, как у вас есть маршрут к главному шлюзу, указывающий весь трафик из подсети vpn на шлюз vpn, вам нужен маршрут в шлюзе vpn, указывающий весь трафик в основную подсеть на главный шлюз.
Это грубая проблема, с которой я столкнулся сам, поэтому вот некоторая информация для начала.
Руководство пользователя Actiontec MI424-WR www.fiberfaq.com/admin/attachments/actiontec_mi424wr_manual.pdf
Вот URL-адрес чьего-то блога, который утверждал, что он работает, но скриншоты отсутствуют, поэтому за ним немного сложно следить.
blogs.freebsdish.org/tmclaugh/2008/12/01/verizon-fios-actiontec-mi424wr-and-multiple-subnets/
Я бы опубликовал это как фактическую ссылку, но ServerFault не любит меня как нового пользователя, поэтому я позволю мне опубликовать только одну ссылку прямо сейчас.
По сути, он утверждает, что правила фильтрации брандмауэра блокируют часть этого обратного трафика, и то, что вы описываете, - именно то, что я видел. Трафик будет исходить из частной сети, попадать на желаемый сервер (-ы), и они будут отвечать тем же, отвечая через шлюз, которым был маршрутизатор Actiontec. Потом через шлюз ничего не вернулось.
Я немного поигрался с правилами фильтрации брандмауэра, но разочаровался, потому что документация в Руководстве пользователя не совсем ясна, что есть что, и не объясняет, что правила фильтрации содержат по умолчанию. Даже в самой открытой обстановке казалось, что они на месте и препятствуют некоторому движению. В случае ошибки можно полностью заблокировать доступ к маршрутизатору (поскольку он фильтрует ваш трафик), а затем вам придется выполнить сброс настроек до заводских, чтобы он снова заработал.
В конце концов, решение, которое я обнаружил, работало, заключалось в переводе маршрутизатора Actiontec в режим моста. Для этого войдите в роутер Actiontec, перейдите в «Моя сеть» и выберите «Сетевые подключения» слева. Затем нажмите кнопку «Дополнительно» в нижней части экрана, чтобы увидеть все сетевые интерфейсы на Actiontec.
Вам нужно будет освободить IP-адрес вашего маршрутизатора Actiontec, чтобы он мог быть получен вашим собственным маршрутизатором. Иначе не получится. Для этого щелкните соответствующую ссылку «Широкополосное соединение», в зависимости от того, используете ли вы коаксиальный кабель или Ethernet. (На моем маршрутизаторе оба подключены, но используется только Ethernet. Я понимаю, что по большей части FIOS использует вместо этого коаксиальный кабель).
Нажмите «Настройки» в нижней части экрана, после чего вы должны найти параметр «Освободить IP-адрес». Сделайте это, а затем измените Интернет-протокол на «Без IP-адреса». Нажмите Применить и примите необходимые изменения.
Теперь, когда IP-адрес был освобожден, вам нужно изменить маршрутизатор на мост. Под подключениями выберите «Сеть (дом / офис)», а затем нажмите «Настройки». Вы увидите слово «Мост» в верхней части экрана и несколько сетевых интерфейсов под ним. Слева от сетевых интерфейсов есть несколько флажков. Установите флажок рядом с соответствующим широкополосным подключением, которое вы используете (коаксиальный или Ethernet), а также установите флажок в столбце STP. Нажмите Применить и примите необходимые условия, чтобы вернуться в основной раздел.
Если вы еще этого не сделали, отключите точку беспроводного доступа. Также зайдите в настройки брандмауэра и максимально отключите его с минимальной безопасностью. Причина в том, что настоящий маршрутизатор, который вы собираетесь использовать, должен заботиться обо всем, а не Actiontec.
Вот об этом. Действительно отстойно использовать это как мост, но это сработало. Вы можете найти другой способ полностью обойти его, но эта проблема у меня возникла довольно давно, и это был первый способ, который я нашел, чтобы заставить трафик правильно маршрутизироваться. Правила фильтрации брандмауэра, вероятно, сработают, но это настоящая боль, и документация не сильно поможет.