Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Маршрутизация VPN трафика

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

evgen bolbes

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Приветствую форумчан.
Помогите разобраться с маршрутизацией трафика через vpn канал. Все как в учебнике. В тестовой среде "поднял" два офиса. Офис А главный ,офис В филиал. Настроил vpn канал l2pt, средствами windows server 2008. С обоих сторон win server являются одновременно и шлюзами. Сервер офиса А (главного) является сервером  vpn ,соответственно сервер филиала клиент.  

 И так в чем соль:
Пинг и обмен данными из сети А(офис) непосредственно с клиентом (сервером филиала) есть а с подсетью филиала нет. Из сети филиала пакеты в офис не идут. Но виртуальный интерфейс с полученным ip от сервера vpn пингуется. Затык в том что не могу правильно построить маршрут и прошу помощи.  
Таблица маршрутизации на шлюзе офиса
 
Читать дальше..
 
Таблица маршрутизации на шлюзе филиала
Читать дальше..
 
Трассировка и пинг с КП филиала  
Читать дальше..
 
Весь данный гемор был затеян с целью немного глубже разобраться с маршрутизацией и vpn.

Всего записей: 29 | Зарегистр. 17-05-2017 | Отправлено: 09:56 24-10-2017
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
evgen bolbes Геморрой вы устроили себе сами. Зачем вы взяли для VPN сети сеть 192.168.10 , эта сеть у вас за центр.роутером. У этого рутера уже есть интерфейс с  LAN сетью  192.168.10.0/255.255.255.0  , и хрен он отправит пакет в интерфейс туннеля на 192.168.10.200 или 201.  Смените эту сеть на отличную  от имеющихся. Возьмите, например, сеть  172.16.0.0  с маской 255.255.255.252, адреса хостов 172.16.0.1 и 172.16.0.2 на концах туннеля.  
На центр.рутере  добавьте маршрут на сеть 192.168.11.0  на шлюз 172.16.1.2 ,
на рутере в филиале добавьте маршрут на сеть 192.168.10.0  на шлюз 172.16.1.1.  
 
P.S.
Можно было бы заюзать для vpn адреса 192.168.10.200 и 201, но для этого вам пришлось бы делать 3 подсети в центр.офисе - одна их них для туннеля 192.168.10.200/255.255.255.252  ака на 4 адреса и еще 2 подсети для LAN  с соответсвующими масками, а этого вам  нахрен не нужно, не так ли?  
 
Сетей LAN1 и LAN2  должны быть разные,  линковочная  сеть туннеля тоже должна отличаться от всех других и иметь короткую маску (именно короткую маску желательно, но не обязательно).
 


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 11:08 25-10-2017 | Исправлено: ipmanyak, 11:16 25-10-2017
evgen bolbes

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Таблица с офиса и пинг
 
Таблица и пинг филиал
результат то же. теперь даже клиент(роутер филиала) не может пропинговать сеть офиса

Всего записей: 29 | Зарегистр. 17-05-2017 | Отправлено: 09:26 26-10-2017
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
evgen bolbes Фаеры на рутерах и на машинах проверяй, дай доступ соответствующим сетям. Для проверки лучше фаеры на раб станциях отключить временно ( имхо в локали они нахрен не нужны). Не забываем про антивирусы имеющие встроенные фаеры, они тоже могут блочить.
И начинай пингать  сначала локальные  IP рутеров, а не раб.станций.  Таблицы маршрутов ты  с рутеров привел ?


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 09:47 26-10-2017 | Исправлено: ipmanyak, 09:53 26-10-2017
evgen bolbes

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
на машинах нет ни какого софта это тестовая сеть, в ней даже выхода в интернет нет. отключил зашиту на всех машинах офиса и филиала. пошел пинг с роутера филиала на машины в офисе 192.168.10.10 и 192.168.10.50/ Обратно пинга нет. нет пинга и с пк из сети филиала в сеть офиса. Пинг с клиентов офиса до vpn филиала идет(172.16.0.11) Пинг с пк филиала на 172.16.0.11 идет на 172.16.0.10(vpn сервер в офисе) нет .
таблицы  и пинги с роутеров филиала и офиса

Всего записей: 29 | Зарегистр. 17-05-2017 | Отправлено: 11:53 26-10-2017 | Исправлено: evgen bolbes, 12:08 26-10-2017
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
evgen bolbes Покажи таблицу маршрутов с рутеров и раб станций. На раб станциях дефолтгетвеем должен стоять IP своего рутера.  
Покажи трассы с раб станций.


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 12:24 26-10-2017 | Исправлено: ipmanyak, 12:25 26-10-2017
evgen bolbes

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
подсеть офиса 192.168.10.0
 
сервер офис
 
Пк офис
 
Подсеть филиала 192.168.11.0
 
Сервер филиал
 
Пк филиал

Всего записей: 29 | Зарегистр. 17-05-2017 | Отправлено: 13:07 26-10-2017 | Исправлено: evgen bolbes, 13:08 26-10-2017
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
evgen bolbes линковочную подсеть немного неправильно взяли, надо было сразу в IP калькулятор загнать. Кстати скачай его себе, нужная вещь при проектировании сетей
http://lantricks.ru/   LanCalculator — расчёт IP-адресов в подсети с учётом маски подсети, а также расчёт широковещательного IP-адреса,  бесплатный, там все проги бесплатные и иногда полезные.
 
при маске 255.255.255.252 у нас должно быть:
 
начало сети     IP 172.16.0.8
минимальный   IP  172.16.0.9
максимальный  IP 172.16.0.10
адрес бродкаста  172.16.0.11
число хостов 2
 
так что меняй адреса  концов туннеля на 172.16.0.9 и 172.16.0.10
 
 


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 15:21 26-10-2017 | Исправлено: ipmanyak, 15:22 26-10-2017
evgen bolbes

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
хрен наны. я и сам не пойму почему не работает. даже в чем прикол при трассе с клиента офиса на клиента в филиала пакеты доходят до шлюза vpn и дохнут. маршрут же обратный есть фаервол окт
 
офис
 
филиал

Всего записей: 29 | Зарегистр. 17-05-2017 | Отправлено: 10:13 27-10-2017 | Исправлено: evgen bolbes, 10:19 27-10-2017
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
evgen bolbes  
Сравни таблицы маршрутов для 172.16., они у тебя отличаются.
1.
Оно вероятно не критично, но вот этот маршрут в  в таблице маршрутов филиала:
 172.16.0.0      255.255.0.0       172.16.0.9      172.16.0.10     11  
откуда он взялся?  Если сам добавлял вручную, то удали  .
2.
Кроме того в филиале у тебя еще есть  
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
     192.168.10.0    255.255.255.0       172.16.0.9       1  
 
который уже есть в таблице, этот Постоянный  надо удалить .
 
Проверь фаерволы и антивирусы еще раз на обоих серверах. Отключи их совсем, остановив  службу.


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 11:10 27-10-2017 | Исправлено: ipmanyak, 11:13 27-10-2017
evgen bolbes

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
убрал постоянный маршрут. еще раз проверил фаервол -он отк на все машинах. не за работало. все также пинги с сервера клиента впн(шлюза филиала) в офис есть,а с клиента филиала нет. Трасер до роутера 192.168.11.1  доходит и все-дохнет. Хотя внешний ip 10.10.1.1 роутера офиса пингуется отлично с клиентской машины филиала. маршрутизация работает но не до конца. не понятно почему не хочет лезть в впн.  

Всего записей: 29 | Зарегистр. 17-05-2017 | Отправлено: 10:43 31-10-2017
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Рутер 192.168.11.1  пингает клиентов в офисе, а раб станция за этим рутером нет?
Покажи таблицу маршрутов этого рутера и раб станции за ним.  
Но сдается мне проблема у тебя в тестовой среде вирт.машин, там  случаем не стоит какой-нить антивирус со своим фаером на хостовой машине?

----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 12:42 31-10-2017
evgen bolbes

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
да,роутер филиала пингует пк офиса. а компьютер филиала не пингует офис. Тестовая среда состоит из 2 физических пк с виртуальными машинами. не на гипервизорах не на виртуалках нет антивируса т.к. они тестовые и гуляют только в локалке. использую для поиска "геморроя" и тестов.
 
роутер филиала
 
пк филиала

Всего записей: 29 | Зарегистр. 17-05-2017 | Отправлено: 10:08 01-11-2017 | Исправлено: evgen bolbes, 10:08 01-11-2017
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Маршрутизация VPN трафика


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru