vpn туннель между zyxel

Тема в разделе "Маршрутизация", создана пользователем pmi, 6 мар 2019.

  1. pmi

    pmi Новый участник

    Добрый день.
    Есть две сети. Одна со статическим внешним ip провайдера, внутренняя сеть 192.168.1.0, на ней включен vpn сервер, и заведен пользователь vpn_user.
    Вторая сеть - с динамическим ip, к инету подключается через usb мегафон модем. Внутренняя сеть 192.168.0.0.
    Соединение устанавливается под пользователем vpn_user, и с клиента (192.168.0.1) доступна сеть 192.168.1.0
    Надо, чтобы и с сети 192.168.1.0 был доступ к 192.168.0.0. Но этого нет. Не пингуется с zyhel 192.168.1.1 ip
    192.168.0.1
    С 192.168.0.1 роутер 192.168.1.1 пингуется. Думаю, что надо настроить доступ на роутере 192.168.0.1, но не получается. Пробовала добавлять разрешающие правила firewall - не идет пинг.
    Если кто-то сталкивался, подскажите, пожалуйста, как сделать, чтобы при наличия туннеля между сетями был доступ как к сети сервера, так и к сети клиента.
     
  2. Pavel N

    Pavel N Участник

    Правильно ли я понял:
    Есть роутер Zyxel с ip 192.168.1.1/24 со статическим внешним ip
    Есть роутер mikrotik с ip 192.168.0.1/24 с динамическим внешним ip и модемом
    На Zyxel поднят VPN сервер который раздает какие-то адреса клиентам (вопрос какие с каким префиксом сети)
    На сервере VPN настроен 1 клиент vpn_user который успешно используется роутером mikrotik
    Ping с 192.168.1.1 на 192.168.0.1 успешно проходит через установившийся туннель

    Предположу
    что в сети zyxel (192.168.1.0/24)
    есть некий компьютер 192.168.1.100 который отвечает на пинг и нужен абонентам обоих сетей ( например сетевой принтер) - назовем его printer1
    есть некий пользовательский компьютер 192.168.1.200 - обозначим его user1
    В сети mikrotik (192.168.0.0/24) аналогично
    есть некий компьютер 192.168.0.100 который отвечает на пинг и нужен абонентам обоих сетей ( например сетевой принтер) - назовем его printer0
    есть некий пользовательский компьютер 192.168.0.200 - обозначим его user0
    VPN
    Адрес vpn сервера и vpn клиента (я предполагаю лежат вне локальных сетей роутеров)

    фаерволы обоих роутеров должны как минимум НЕ МЕШАТЬ работе поэтому на время настройки (только! на время настройки) их можно выключить
    (не удалить а отключить!!!) если Вы на сейчас в достаточной мере не владеете вопросом чтоб понимать какое правило фаервола как работает

    За маршрутизацию отвечает другой раздел не фаервол а роутинг соответственно
    Как настроить на zyxel маршрутизацию я не подскажу т.к.мало имел с ним дел но нужно искать раздел маршрутизации и добавлять маршруты для
    сети микротика (192.168.0.0/24) с указанием в роли шлюза ip адреса микротика ( того адреса который раздал VPN сервер клиенту vpn_user)
    если все выполнено верно то должна появится видимость из сети 192.168.1.0/24 в направлении и шлюза микротик (192.168.0.1) и printer0 и user0
    Вполне может быть что некие маршруты добавляются самостоятельно роутером при подключении VPN клиента(вопрос только какие и как посмотреть)

    на микротике это действие делается в разделе
    IP - Routes
    добавляется маршрут для 192.168.1.0/24 шлюзом (Gateway) для этой сети будет zyxel c IP (тем ip который у VPN сервера и не факт что он 192.168.1.1 он может быть другим- нужно уточнять в настройках Zyxel)
    тогда из сети 192.168.0.0/24 появится видимость не только самого шлюза (192.168.1.1) но и printer1 и user1

    Нужно понимать что для проверки должны использоваться компьютеры у которых фаервол и антивирус не режет пакеты приходящие не из локальной сети т.к. часто бывает что проблема не в роутере а в конечном устройстве которое просто режет входящий трафик

    Не забыть! вернуть все защитные механизмы в разделе Firewall в рабочее положение
     
  3. pmi

    pmi Новый участник

    С компьютера, подключенного к роутеру 192.168.0.1 захожу на роутер 192.168.1.1 - значит , vpn туннель работает. Но, при этом, когда с роутера 192.168.1.1 хочу пропинговать сеть 192.168.0.1 - пинг не идет.
    Клиенты vpn получают ip из сети 172.16.1.0
     
  4. Pavel N

    Pavel N Участник

    для конкретного клиента vpn_user нужно зафиксировать IP получаемый от vpn сервера чтоб он не менялся и можно было его использовать для маршрута
    Стоит на стороне zyxel найти варианты для просмотра существующих маршрутов у роутера - где-то да должно быть это видно ...
    это упростит настройки
    и ДА
    раз известно что VPN сервер раздает адреса вида 172.16.1.0/24 возможно (но не факт) что себе он раздал адрес 172.16.1.1/24 и тогда на стороне микротика в маршрутах нужно его и использовать (в роли шлюза)
    До этого на микротике
    зайти в ip-addressess и найти адрес полученный микротиком для впн соединения вида 172.16.1.**/**- его можно использовать в маршрутах на стороне zyxel
    зайти в ip - routes убедится что маршрут на 192.168.1.0/24 идет через шлюз 172.16.1.1 и у него статус Активен
    зайти в tools-Ping проверить что пинг с микротика на 172.16.1. проходит успешно
    из сети микротика проверить доступность самого микротика
    затем zyxel по адресу 172.16.1.1,
    затем его же по адресу 192.168.1.1
    затем комп в сети zyxel например 192.168.1.100
    если все верно настроено на стороне микротика - должны проходить пинги
     
  5. pmi

    pmi Новый участник

    Спасибо большое. Пинги пошли. С роутера zyxel 192.168.1.1 на 192.168.0.1 и другие устройства сети.
    Вопрос теперь в следующем. Туннель работает под определенным пользователем, пинги идут.
    На телефоне подключаюсь по vpn под другим пользователем к тому же zyxel, вижу роутер 192.168.1.1, но, опять же, не вижу 192.168.0.1 и устройств за ним. А как раз это и надо изначально - подключиться по vpn к zyxel, т.к. у него статический ip, и зайти, например, на 192.168.0.30 через web.
     
  6. Pavel N

    Pavel N Участник

    Нужно глянуть какие адреса получает после подключения и телефон и zyxel
    иии на телефоне скорее всего не получится и вот почему ... я не уверен но кажется VPN туннель на телефоне не меняет шлюз по умолчанию (могу ошибаться)
    А если так то ... все что в сети 192.168.0.0/24 за пределами локальных для телефона адресов, не лежит в сети VPN туннеля и... будет отправлено в шлюз по умолчанию телефона а оттуда в инет и там никого не найдет ...
    Я не уверен что можно прописать маршрутизацию для сети 192.168.0.0/24 на самом телефоне чтоб он отправлял эти пакеты в Туннель на 172.16.1.1
    а по другому они уйдут в сеть провайдера интернета и там No Route To Host
    Как вариант - на Zyxel настроить проброс конкретных портов с перенаправлением на к онкретный web сервер в сети 192.168.0.0/24
    и обращаться с телефона не на 192.168.0.*** а на 172.16.1.1:87 (на Zyxel) где настроен проброс порта 87 на 192.168.0.***:80 TCP
    и так для каждого порта который нужен ....
     
    Последнее редактирование: 9 мар 2019
  7. pmi

    pmi Новый участник

    С телефона подключилась по vpn, зашла с компа на zyxel (vpn сервер), появилось активное подключение 172.16.1.4 (172.16.1.2 уже было - это туннель с клиентом )
    Про проброс портов не совсем понятно. Это надо на сервере сделать? zyxel 192.168.1.1 , доступ нужен к 192.168.0.30. Это как-то так:
    upload_2019-3-9_7-57-16.png
     

    Вложения:

    Pavel N нравится это.
  8. Pavel N

    Pavel N Участник

    да я бы сказал что именно так
    и из браузера обращение вида http://172.16.1.1:87 должно вести на вэб сервер датчика на 192.168.0.30 как по мне должно сработать
     
  9. pmi

    pmi Новый участник

    Пробовала так. Не хочет. А возможно ли сделать подключение по внешнему ip. Т.е. туннель работает. На телефоне или компе, не устанавливая vpn соединения, набираем в браузере внешний белый ip zyxel, указываем порт и попадаем на web датчика. Наверное, надо порт прописать для датчика. Или с внешнего ip не получится?
     
  10. Pavel N

    Pavel N Участник

    можно и на внешнем адресе такое перенаправление попробовать - никто не запрещал вроде
    вполне работоспособный вариант
    и в том правиле что было на скрине выше никто не мешает попробовать вариант с указанием не сети 172.16.1.0/24 а конкретно роутера 172.16.1.1 с маской 255.255.255.255 может и заработает ...
    кроме этого проверить из zyxel я пинг на 192.168.0.30 проходит или нет (должен проходить)


    недостатком варианта с внешним IP будет открытость этого датчика миру а как его защитили от взлома и проникновения - большой вопрос ...
    Примером могут стать массовые автоматизированные взломы систем видеонаблюдения ... в инете много на эту тему и статей и роликов
     
  11. pmi

    pmi Новый участник

    Спасибо, получилось. На клиенте настроила, чтобы входящие пакеты отправлялись на сеть 172.16.1.0
    upload_2019-3-14_22-20-7.png
     
    Pavel N нравится это.
  12. Pavel N

    Pavel N Участник

    вот и замечательно
     
  13. pmi

    pmi Новый участник

    Вопрос не совсем по теме. Надо дать возможность зайти на микротик по внешнему ip. На один день, для настройки. Добавила правило в NAT, firewall - зайти по внешнему ip не получилось. В services разрешила доступ с любой сети. Зашла по внешнему ip. Но, мне кажется, это не корректно. М.б. подскажете, где прочитать про проброс портов. Надо попасть не на устройство в локальной сети за микротиком, а на сам микротик. Набрать в адр.строке внешний ip и попасть на микротик.
     
  14. Pavel N

    Pavel N Участник

    За доступ к winbox отвечают несколько вещей одновременно
    1. Сам сервер winbox его настройка порта и откуда с каких сетей и адресов он будет доступен
    https://c2n.me/40pZ9Sw
    2. Mac WinBox - доступ средствами winBox по mac адресу - там нет IP адресации поэтому регулируется в разделе
    Tools/MacServer указывается список интерфейсов (InterfaceList) с которых допустимо отзываться
    Естественно в умолчательной конфигурации роутера порт выделены для инета в этот список не попадает
    https://clip2net.com/s/40pZnVQ
    3. Пользователь от имени которого осуществляется вход тоже имеет свои настройки ограничений (по умолчанию они пустые)
    https://c2n.me/40pZS3j
    Это то что касается работы самого сервиса WinBox в принципе

    по Вашему Вопросу
    Доступ извне на время дать конечно можно но это риск что будут все кому не лень стучаться туда и перебирать пароли или пробовать эксплуатировать уязвимости более ранних прошивок чтоб прочитать информацию с роутера и войти без пароля
    интересное видео на эту тему

    Поэтому на входе в умолчательной конфигуации нет разрешения входить на роутер извне

    1. Можно добавить правило в цепочку Iput c разрешением для порта обозначенного как сервер WinBox у Вас (можно сделать его не стандартным в ip\services ) и входящим внешним интерфейсом (тем с которого приходит инет)
    но оставлять так - это риск
    Это правило нужно дополнить каким-то ограничением например
    а) либо статическим адресом в разделе Source с которого будет доступ и он нам известен и не изменен
    https://c2n.me/40q1ep0
    б) Либо в разделе Advanced дополнить списком откуда разрешено работать этому правилу
    https://c2n.me/40q1ltH
    и в этот список внести и статические адреса и символьные имена и сети и при необходимости дополнять его динамически
    например вот так
    добавить правило
    https://c2n.me/40q1H79
    https://c2n.me/40q1Oht
    (надеюсь ясно что номер порта выбирается случайно и подальше от номера самого винбокса чтоб сканеры портов перебирая последовательно не смогли добраться от случайного до порта винбокса за отведенный промежуток времени и получить любой ответ )
    это позволит динамически добавлять в разрешенный список адреса предварительно выполнив простое действие (PortKnocking)
    например прямо в винбоксе обратиться по внешнему адресу и порту затем сменив порт (или убрав если он 8291) зайти в винбокс

    в винбоксе набрать
    1.2.3.4:1234 (это добавит Ваш IP в разрешительный список)
    за 20 секунд успеть исполнить
    1.2.3.4:8291

    И уже совсем о вашей ситуации т.к. у Вас микротик за другим роутером то на Zyxel е тоже нужно будет делать правило для проброса маркерного порта (1234) так же как и для порта микротика чтоб он вообще смог получить эти пакеты .
    Но если Вы уже заходили извне на микротик то как это делать Вы знаете и умеете

    Надеюсь достаточно подробно
     
  15. pmi

    pmi Новый участник

    Спасибо. С внешнего ip решили не подключаться.
     
    Pavel N нравится это.