VPN с одинаковым шлюзом

Протоколы, пинги, роутинг - ответы на вопросы как заставить сеть работать правильно
Аватара пользователя
sherwood

 
Сообщения: 140
Зарегистрирован:
11 дек 2009, 10:25

VPN с одинаковым шлюзом

Сообщение sherwood 14 июл 2010, 20:31

есть такая проблема:
домовая сеть 172.16.0.0.24 с шлюзом 172.16.0.1\24
и есть удаленная сеть (работа) 172.16.0.0\24 c VPN сервером
между ними поднимаю VPN, к VPN серверу подключение происходит,
но только и всего, заставить например работать 1С с базой на работе не получается...
пинги не проходят и все такое...
понял, что проблема в том что обе сети одинаковые...
поменял в домовой сети IP компьютеру на 172.16.1.2, результат тот же,
соединение установлено... далее ноль...
получается, что пока в домовой сети полностью не сменить сеть например на 10.0.0.0\24
с шлюзом например 10.0.0.1\24 работать VPN не будет?
или есть варианты? .... OpenVPN и смена сети на работе не предлагать - нет возможности...

Аватара пользователя
Igoras
Moderator
Moderator
 
Сообщения: 3248
Зарегистрирован:
22 окт 2003, 20:27
Откуда: Кишинев, Starushka.net

Re: VPN с одинаковым шлюзом

Сообщение Igoras 14 июл 2010, 22:47

Какой дефолт гейт в сети на работе? Тот который впн-гейт или другой?

Полностью сменить в данном случае не поможет точно, сети уже разные.

Аватара пользователя
sherwood

 
Сообщения: 140
Зарегистрирован:
11 дек 2009, 10:25

Re: VPN с одинаковым шлюзом

Сообщение sherwood 14 июл 2010, 23:36

Igoras писал(а):Какой дефолт гейт в сети на работе? Тот который впн-гейт или другой?


что то не пойму, что спрашиваешь.... :hmm:
может так понятнее будет:
на работе сеть допустим 10.0.0.0\24 с гейтом 10.0.0.1 и поднят VPN сервер
домовая сеть 10.0.0.0\24 гейт 10.0.0.250
вот в такой схеме работать не будет, облазил кучу форумов и везде пишут,
что сети одинаковые, нужно что бы было например одна сеть в другом диапазоне,
например домовая 10.100.0.0\24 с гейтом 10.100.0.1
тогда все работать будет и работает, проверено...
сменив клиенту IP на 10.0.1.0\23 он все равно остается в той же сети, поэтому и не работает..
при подключение получается туннель между двумя одинаковыми сетями....и поэтому пинг и все
другое не проходит в другую (рабочую) сеть...
как решить эту проблему даже и не знаю, пишут, что надо OpenVPN поднимать, тогда все будет
работать, но у клиента на работе админ естественно этого делать не будет....

Igoras писал(а):Полностью сменить в данном случае не поможет точно, сети уже разные.


вот это тоже что то не догоняю :hmm:

Аватара пользователя
Alex

 
Сообщения: 736
Зарегистрирован:
27 июн 2003, 09:09
Откуда: Кишинев

Re: VPN с одинаковым шлюзом

Сообщение Alex 15 июл 2010, 10:32

sherwood писал(а): .... OpenVPN и смена сети на работе не предлагать - нет возможности...


Ну так смени сеть дома + прописывание рутинга
Рожденный ползать, везде пролезет!

Аватара пользователя
Igoras
Moderator
Moderator
 
Сообщения: 3248
Зарегистрирован:
22 окт 2003, 20:27
Откуда: Кишинев, Starushka.net

Re: VPN с одинаковым шлюзом

Сообщение Igoras 15 июл 2010, 14:25

sherwood писал(а):на работе сеть допустим 10.0.0.0\24 с гейтом 10.0.0.1 и поднят VPN сервер

VPN-сервер поднят на гейте 10.0.0.1 или на другом? если на другом, не обойтись без прописывания маршрута на 1с-сервере, чтобы сервер знал, что передавать пакеты в домашнюю сеть надо через впн-гейт, а не через простой.

Дальше - если одинаковые сети и дома и там, то в теории можно сделать, при коннекте к впну все равно поднимается вирутальный линк точка-точка, и можно вписать маршрут к удаленному серверу через адрес впн-гейта, поднять нат со своей или с той стороны, или с обоих, тогда тот сервер и знать не будет куда он коннектится. Но без схемы сказать чо-то сложно - многобуков непонятно, а по схеме сразу все наглядно.

Аватара пользователя
Alex

 
Сообщения: 736
Зарегистрирован:
27 июн 2003, 09:09
Откуда: Кишинев

Re: VPN с одинаковым шлюзом

Сообщение Alex 15 июл 2010, 14:38

Мона еще канешна VPN и локальный интерфейс объеденить бриджом (с каждой стороны) и тож получитсо прозрачно
Рожденный ползать, везде пролезет!

Аватара пользователя
Igoras
Moderator
Moderator
 
Сообщения: 3248
Зарегистрирован:
22 окт 2003, 20:27
Откуда: Кишинев, Starushka.net

Re: VPN с одинаковым шлюзом

Сообщение Igoras 15 июл 2010, 19:30

Да еще на схеме неплохо бы указать к каким серверам есть административный доступ, если не ко всем...

Аватара пользователя
sherwood

 
Сообщения: 140
Зарегистрирован:
11 дек 2009, 10:25

Re: VPN с одинаковым шлюзом

Сообщение sherwood 15 июл 2010, 20:48

Alex писал(а):Мона еще канешна VPN и локальный интерфейс объеденить бриджом (с каждой стороны) и тож получитсо прозрачно

к серверу что на работе доступа нет, да и админ там ни чего менять не будет....
поэтому если что то и делать то только на стороне домашней сети...
если бы не авторизация в домовой сети через агента Трафик Инспектора, а например
по PPPoE было бы все намного проще.... поставил бы клиенту роутер на котором
поднималась бы PPPoE сессия, а уж потом компьютеру дал бы другой IP...
была мысля поднять на АР3 PPPoE сервер и сделать у пользователей которые сидят
за этой точкой авторизацию по PPPoE а на сервере с ТИ авторизацию по IP, но пока мозгов
не хватает, то-есть поднять PPPoE сервер я могу, а вот что дальше пока не понимаю...

Igoras писал(а):Да еще на схеме неплохо бы указать к каким серверам есть административный доступ, если не ко всем...

в домовой сети есть доступ ко всем серверам...шлюз и FTP...
вот ipconfig с клиентского компьютера после поднятия VPN туннеля:

Код: Выделить всё
C:Documents and SettingsMufasa>ipconfig/all

Настройка протокола IP для Windows

        Имя компьютера  . . . . . . . . . : Presario
        Основной DNS-суффикс  . . . . . . :
        Тип узла. . . . . . . . . . . . . : неизвестный
        IP-маршрутизация включена . . . . : нет
        WINS-прокси включен . . . . . . . : нет

Подключение по локальной сети - Ethernet адаптер:

        DNS-суффикс этого подключения . . :
        Описание  . . . . . . . . . . . . : Realtek PCIe FE Family Controller
        Физический адрес. . . . . . . . . : 00-16-3E-43-ЕЕ-7C
        Dhcp включен. . . . . . . . . . . : нет
        IP-адрес  . . . . . . . . . . . . : 172.16.3.3
        Маска подсети . . . . . . . . . . : 255.255.252.0
        Основной шлюз . . . . . . . . . . : 172.16.0.250
        DNS-серверы . . . . . . . . . . . : 172.16.0.250

Беспроводное сетевое соединение - Ethernet адаптер:

        Состояние сети  . . . . . . . . . : сеть отключена
        Описание  . . . . . . . . . . . . : Адаптер Broadcom 802.11b/g WLAN
        Физический адрес. . . . . . . . . : 0C-60-76-70-CD-B1

Работа - PPP адаптер:

        DNS-суффикс этого подключения . . :
        Описание  . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
        Физический адрес. . . . . . . . . : 00-46-32-00-00-00
        Dhcp включен. . . . . . . . . . . : нет
        IP-адрес  . . . . . . . . . . . . : 172.16.0.100
        Маска подсети . . . . . . . . . . : 255.255.255.255
        Основной шлюз . . . . . . . . . . : 172.168.0.100

C:Documents and SettingsMufasa>

1С сервер на работе находится на IP 172.16.0.3
повторюсь, что на работе админ менять ни чего не будет, ну если самую малость
какую, которая не повредит его сети...
после подключения пинги на 172.16.0.3 (1С) сервер не идут, ну и соответственно программа
не может приконектится...
я так понимаю, что пинг пытается найти IP 172.16.0.3 в домовой сети а не по тунелю на работе...

P.S.
и компьютер в домовой сети с IP 172.16.0.100 и 172.16.0.3 тоже есть, хотя они все разделены
Vlan, но может и из-за этого какой конфликт...

Аватара пользователя
Igoras
Moderator
Moderator
 
Сообщения: 3248
Зарегистрирован:
22 окт 2003, 20:27
Откуда: Кишинев, Starushka.net

Re: VPN с одинаковым шлюзом

Сообщение Igoras 15 июл 2010, 22:37

Схемы че-то так и не видно...

Аватара пользователя
sherwood

 
Сообщения: 140
Зарегистрирован:
11 дек 2009, 10:25

Re: VPN с одинаковым шлюзом

Сообщение sherwood 15 июл 2010, 23:54

Igoras писал(а):Схемы че-то так и не видно...

http://forum.lan.md/viewtopic.php?f=15&t=3143
клиент находится за АР3...
между АР1-АР2-АР3 настроен WDS все порты на АР добавлены в бридж...
к второму интерфейсу прокси сервера (на картинке этого нет) подключен RB450G,
на котором поднят NAT, шейпер и т.д.
на самом сервере простая маршрутизация с помощью реестра, без NAT, без прокси...биллинг ТИ.
что еще нужно?

Аватара пользователя
Igoras
Moderator
Moderator
 
Сообщения: 3248
Зарегистрирован:
22 окт 2003, 20:27
Откуда: Кишинев, Starushka.net

Re: VPN с одинаковым шлюзом

Сообщение Igoras 16 июл 2010, 01:35

Актуальную схему для данной конкретной ситуации. Например меня совсем не волнуют в данном случае все аксесс-поинты с их проводными и беспроводными клиентами до тех пор пока они представляют собой единую прозрачную подсеть с общим адресным пространством, и это можно обозначить как облако 172.16.0.0/24. Зато интересуют такие вещи как:
- где происходит маскарадинг (RB450G которого нет на картинке), какая подсеть между вторым интерфейсом прокси и этим RB450...
- какая сеть на работе, в частности волнуют 1с-сервер (удалось выяснить что это 0.3),
- основной шлюз на работе,
- впн-сервер на работе - его адрес в локальной сети, если это не тот же сервер, который является основным шлюзом
- что еще за разные вланы внутри одного логического сегмента, как это вообще работает
- есть ли админский доступ к впн-серверу, 1с-серверу на работе.

Аватара пользователя
Alex

 
Сообщения: 736
Зарегистрирован:
27 июн 2003, 09:09
Откуда: Кишинев

Re: VPN с одинаковым шлюзом

Сообщение Alex 16 июл 2010, 08:53

То Igoras,
Походу человек полноценно верит в телепатов
Рожденный ползать, везде пролезет!

Аватара пользователя
sherwood

 
Сообщения: 140
Зарегистрирован:
11 дек 2009, 10:25

Re: VPN с одинаковым шлюзом

Сообщение sherwood 17 июл 2010, 10:44

значит так, вот схема, она упрощена но остальное не важно:

Изображение

Vlan - это свичи с изолированными портами, например Compex PS2216.
сеть на работе 172.16.0.0\24
шлюз и VPN сервер на работе 172.16.0.1\24
IP 1С 172.16.0.3
прямого доступа к сети на работе нет, но админ готов помочь, если это не сильно
поменяет структуру его сети....просто я так понимаю он сам не очень в этом разбирается...
повторюсь, что на многих форумах задавал этот вопрос и все утверждают,
что с одинаковыми сетями то что мне нужно сделать нельзя...

повторю вопрос, нужно клиенту из домовой сети 172.16.3.3\22 дать доступ к 1С
на работе, VPN соединение устанавливается дальше ни чего, то-есть пинг не проходит
на 172.16.0.3

Аватара пользователя
tolstii

 
Сообщения: 15
Зарегистрирован:
10 июл 2010, 16:43

Re: VPN с одинаковым шлюзом

Сообщение tolstii 17 июл 2010, 15:08

Дана я схема не приведет к желаемому результату, ip с маской 22 означает что диапазон 172.16.0.0 - 172.16.3.255 находится в локальной сети, 1С сервер в удаленной сети - 172.16.0.3 попадает в данный диапазон и машина будет думать что данных хост находится в локалке и к гейту не будет обращаться!!!

Варианты:

1. У клиента поменять IP с маской на 172.16.0.128(до 254)/25 – следовательно диапазон от 172.16.0.128 до 172.16.0.255 будет локальный, а запрос на любой другой хост будет идти через гейт и при обращении к 172.16.0.3 – клиент обратится к гейту по умолчанию. НО! На сервере 1С так же нужно поменять маску на 25 и для него локальный диапазон будет от 0 до 127 – так что если в сетки с 1С имеются ящики с IP из диапазон 130 – 150 и т.д – тогда в зависимости от этого нужно использовать другое деление подсетей.
2. Более простой вариант – на сервере 0.250 вернуть обратно подсеть 24, и добавить ещё один IP на локальный интерфейс 1.250, и теперь клиенту прописать IP из этой подсети к примеру 172.16.1.30/24 гейтом и днсом указать 1.250. Вот и все.
3. ИЛИ - На работе – на роутере поднять OVPN ( на микротике делается просто), но так же потребует некоторых дополнительных знаний.
4. ИЛИ - Забриджевать сети по средствам EOIP.
5. Можно что то ещё придумать, но попробуй сначала вариант N2 так как он не требует изменений проводить на работе, если что потом пробуй N1

Аватара пользователя
sherwood

 
Сообщения: 140
Зарегистрирован:
11 дек 2009, 10:25

Re: VPN с одинаковым шлюзом

Сообщение sherwood 17 июл 2010, 20:39

спасибо...
1. попробую первый вариант, если на работе будет возможность поменять маску...
2. а вот вопрос про второй вариант, насколько это грамотное решение прописать второй IP
на карте?
имеется введу, что это допустимо или же это от безысходности, не очень хочется что то мудрить
с сетью, пытаюсь делать все правильно, что бы потом сопли годами не убирать...
ну например используют ли такой вариант провайдеры или все таки грамотнее
установить еще одну сетевую карту....
если это так (не вариант с вторым IP на карте), мне тогда этому одному клиенту проще дать авторизацию по IP,
он купит роутер и пропишет какой угодно себе IP....

P.S.
да, и еще по поводу первого варианта, при поднятии VPN клиенту выдается IP 172.16.0.100
это не повлияет на работу?

Аватара пользователя
sherwood

 
Сообщения: 140
Зарегистрирован:
11 дек 2009, 10:25

Re: VPN с одинаковым шлюзом

Сообщение sherwood 18 июл 2010, 17:42

решил проблему установкой еще одной сетевой картой, думаю так будет по взрослому :)
тем более почитал по форумам, с что с несколькими адресами на интерфейсе
могут быть проблемы, например не работать NAT, хотя у меня его нет но все же...
спасибо всем, все свободны :D

Аватара пользователя
sherwood

 
Сообщения: 140
Зарегистрирован:
11 дек 2009, 10:25

Re: VPN с одинаковым шлюзом

Сообщение sherwood 19 июл 2010, 12:39

да, все ушли на фронт :D
если не успею сам решить, может кто подскажет.
при поднятии VPN туннеля и подключении к 1С разрывается соединения
агента ТИ и соответственно пропадает все, потом ТИ агент снова подключается,
поднимаю VPN...работает, подключаю 1С та же картина...

Аватара пользователя
Alex

 
Сообщения: 736
Зарегистрирован:
27 июн 2003, 09:09
Откуда: Кишинев

Re: VPN с одинаковым шлюзом

Сообщение Alex 19 июл 2010, 12:53

Шлюз меняется
Рожденный ползать, везде пролезет!

Аватара пользователя
sherwood

 
Сообщения: 140
Зарегистрирован:
11 дек 2009, 10:25

Re: VPN с одинаковым шлюзом

Сообщение sherwood 19 июл 2010, 13:08

и что с этим делать?

Аватара пользователя
Alex

 
Сообщения: 736
Зарегистрирован:
27 июн 2003, 09:09
Откуда: Кишинев

Re: VPN с одинаковым шлюзом

Сообщение Alex 19 июл 2010, 14:47

Если меняется шлюз - тогда либо лечить это метриками или же прописывать статические маршруты
Рожденный ползать, везде пролезет!


Вернуться в Настройка сети

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 7

cron