видимость PPTP юзера из внутренней сети
-
в главном офисе стоит pfsense WAN/LAN (192.168.2.0/24)
есть удаленный офис с веб камерами, но с серым IP адресом (роутер Zyxel keenetic 4g)
задача - получить доступ к камерам удаленного офиса из главного офисавыход нашел пока один - настроил PPTP сервер в главном офиске, подключился kenneticом к нему, получив адрес, допустим, 192.168.2.131
соответственно, сам Pfsense этот адрес видит и пингует, но другие клиенты офиса (192.168.2.0/24) , естественно пытаются подключиьтся к нему напрямую а не через pfsense и, соответственно, обламываются….
вопрос как сделать так, чтобы клиенты видели удаленный keenetic? -
Если адресация в сетях одинаковая - менять.
-
менять что?
я попробовал настроить PPTP сервер с выдачей вместо 192.168.2.131 левый адрес 192.168.7.131
но и тогда никто из 2-й сети его не видит….кстати, забыл добавить, т.к. у меня стоит прозрачный squid, то все клиенты могут зайти на 80-й порт этого PPTP клиента, но только на него...
-
Поднимайте туннель между офисом (pfsense) и филиалом (keenetic). Можно openvpn, l2tp и тд. Желательно site-to-site. Тогда будет видно камеры для пользователей офиса. Ну а дальше правила доступа по желанию.
-
есть удаленный офис с веб камерами, но с серым IP адресом (роутер Zyxel keenetic 4g)
Какая адресация в этой сети?
-
есть удаленный офис с веб камерами, но с серым IP адресом (роутер Zyxel keenetic 4g)
Какая адресация в этой сети?
192.168.3.0/24
серый IP для выхода в инет 172.20.72.139
Маска подсети: 255.255.252.0 -
вопрос как сделать так, чтобы клиенты видели удаленный keenetic?
Зачем вашим пол-ям подключаться к зюхелю, причем тут он ?! Вам к камерам надо? Так и обращайтесь к адресам камер.
Покажите скрины fw на PPTP.
-
Ну я имел ввиду естественно, подключение к серверу камер-регистратору - в пером скрине указан проброс портов.
но работает только по 80-му порту, опять же благодаря Squidу, как я понял - иначе доступ к 192.168.2.131 недоступен.я пробовал подключится к pfsense главному серверу извне по порту 9000 и настройкам форвардинга портов как указано в последнем скрине - тоже бестолку.
-
Убирайте port forwarding на WAN pfsense и в настройках zyxel. Не нужет он там.
Ваш zyxel устанавливает pptp-сессию c pfsense. После этого всё рулится правилами fw на pfsense и на zyxel.
Вы на zyxel разрешили на pptp прохождение трафика ? Возможно, что и маршрутизацию надо будет настраивать на zyxel, т.к. он может
ВЕСЬ трафик заворачивать в туннель.Проверяйте эти моменты.
И научитесь использовать tracert и telnet в конце концов.P.s. Скрин правил fw на LAN покажите.
-
если я уберу port forwarding в настройках zyxel, тогда даже по 80-му порту (http://192.168.2.131) из главного офиса будет открываться не WEB регистратор а сам зюксель.
port forwarding на WAN pfsense и в настройках zyxel.
K:\Docs\Work\GIT\emlib>tracert 192.168.2.131 Трассировка маршрута к 192.168.2.131 с максимальным числом прыжков 30 1 <1 мс <1 мс <1 мс pfsense.tts [192.168.2.1] 2 * * * Превышен интервал ожидания для запроса.WAN/LAN FW на Pfsense аналогичен PPTP FW - т.е. открыто всё сейчас.
-
У вас камеры нах-ся в сети 192.168.3.0/24 ?
Ну так и обращайтесь к ним. Зачем вы обращаетесь к адресу одного из концов туннеля?Сделайте tracert до одного из адресов камер в сети .3.х с машины за pfsense.
Убирайте port forwarding на WAN pfsense и в настройках zyxel. Не нужет он там.
!!!
-
хм…тогда где я должен прописать маршруты к 3.0/24 в pfsense?
создать дополнительный интерфейс? -
Все, разобрался я…. в итоге поменял удаленный офис на 192.168.5.0/24 сеть
главный офис остался 192.168.2.0/24
создал там VPN сервер 192.168.10.1 и VPN клиента удаленного офиса 192.168.10.2
прописал маршруты и там и там и всё заработало))
спасибо за наводящие ответы))
что-то я действительно с этим SQUIDом затупил...
-
Я бы тольку pptp-клиенту назначил static ip при подключение или ограничил кол-во pptp-клиентов одним.
-
я так и сделал - 10.2 стоит в статике.
единственное, не могу подключенным Openvpn клиентом к главному офису увидеть 5.0/24 подсетку….а хотелось бы так же извне камеры видеть.
ставил 192.168.5.0/24 и в IPv4 Local Network/s и в IPv4 Remote Network/s (см скриншот)
и 192.168.10.0/24(PPTP server/client) туда и туда пробовалникак не работает(((
-
я так и сделал - 10.2 стоит в статике.
единственное, не могу подключенным Openvpn клиентом к главному офису увидеть 5.0/24 подсетку….а хотелось бы так же извне камеры видеть.
ставил 192.168.5.0/24 и в IPv4 Local Network/s и в IPv4 Remote Network/s (см скриншот)
и 192.168.10.0/24(PPTP server/client) туда и туда пробовалникак не работает(((
Покажите таблицу маршрутизации у клиента при поднятом OpenVPN
-
F:\Tyrant>route print =========================================================================== Список интерфейсов 13...00 ff c3 21 ff a0 ......TAP-Windows Adapter V9 12...00 00 00 00 00 10 ......Сетевая карта Realtek RTL8168C(P)/8111C(P) Family PCI-E Gigabit Ethernet NIC (NDIS 6.20) 1...........................Software Loopback Interface 1 =========================================================================== IPv4 таблица маршрута =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.23 266 127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 192.168.1.0 255.255.255.0 On-link 192.168.1.23 266 192.168.1.23 255.255.255.255 On-link 192.168.1.23 266 192.168.1.255 255.255.255.255 On-link 192.168.1.23 266 192.168.2.0 255.255.255.0 192.168.8.13 192.168.8.14 20 192.168.5.0 255.255.255.0 192.168.8.13 192.168.8.14 20 192.168.8.1 255.255.255.255 192.168.8.13 192.168.8.14 20 192.168.8.12 255.255.255.252 On-link 192.168.8.14 276 192.168.8.14 255.255.255.255 On-link 192.168.8.14 276 192.168.8.15 255.255.255.255 On-link 192.168.8.14 276 192.168.10.0 255.255.255.0 192.168.8.13 192.168.8.14 20 224.0.0.0 240.0.0.0 On-link 127.0.0.1 306 224.0.0.0 240.0.0.0 On-link 192.168.1.23 266 224.0.0.0 240.0.0.0 On-link 192.168.8.14 276 255.255.255.255 255.255.255.255 On-link 127.0.0.1 306 255.255.255.255 255.255.255.255 On-link 192.168.1.23 266 255.255.255.255 255.255.255.255 On-link 192.168.8.14 276 =========================================================================== Постоянные маршруты: Сетевой адрес Маска Адрес шлюза Метрика 0.0.0.0 0.0.0.0 192.168.1.1 По умолчанию ===========================================================================192.168.2.0/24 вся сетка работает
192.168.10.1 пингуется (Pfsense VPN)
192.168.10.2(роутер Zyxel VPN), 192.168.5.1 (роутер Zyxel VPN), 192.168.5.10(камера регистратор) - нет
-
Что говорит tracert -d 192.168.5.1 с клиента ?
Клиентская сеть - 192.168.1.0/24? Если это так, то на сервере нет маршрута в эту сеть. В настройках pfsense добавьте в IPv4 Remote network 192.168.1.0/24
Скрины fw на LAN, WAN, OpenVPN pfsense ?
192.168.10.2(роутер Zyxel VPN)
Этот адрес может и не пинговаться. Не проверяйте на нем.
192.168.5.10(камера регистратор)
У нее в настройках не стоит разрешение доступа ТОЛЬКО из локальной сети ?
-
да, дома я из под роутера (192.168.1.1) захожу
сейчас такой вот роут:
F:\Tyrant>route print =========================================================================== Список интерфейсов 13...00 ff c3 21 ff a0 ......TAP-Windows Adapter V9 12...00 00 00 00 00 10 ......Сетевая карта Realtek RTL8168C(P)/8111C(P) Family PCI-E Gigabit Ethernet NIC (NDIS 6.20) 1...........................Software Loopback Interface 1 =========================================================================== IPv4 таблица маршрута =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.23 266 127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 192.168.1.0 255.255.255.0 On-link 192.168.1.23 266 192.168.1.23 255.255.255.255 On-link 192.168.1.23 266 192.168.1.255 255.255.255.255 On-link 192.168.1.23 266 192.168.2.0 255.255.255.0 192.168.8.5 192.168.8.6 20 192.168.5.0 255.255.255.0 192.168.8.5 192.168.8.6 20 192.168.8.1 255.255.255.255 192.168.8.5 192.168.8.6 20 192.168.8.4 255.255.255.252 On-link 192.168.8.6 276 192.168.8.6 255.255.255.255 On-link 192.168.8.6 276 192.168.8.7 255.255.255.255 On-link 192.168.8.6 276 224.0.0.0 240.0.0.0 On-link 127.0.0.1 306 224.0.0.0 240.0.0.0 On-link 192.168.1.23 266 224.0.0.0 240.0.0.0 On-link 192.168.8.6 276 255.255.255.255 255.255.255.255 On-link 127.0.0.1 306 255.255.255.255 255.255.255.255 On-link 192.168.1.23 266 255.255.255.255 255.255.255.255 On-link 192.168.8.6 276 =========================================================================== Постоянные маршруты: Сетевой адрес Маска Адрес шлюза Метрика 0.0.0.0 0.0.0.0 192.168.1.1 По умолчаниюв IPv4 Remote network 192.168.1.0/24 добавил, перестало пинговаться даже 192.168.10.1 (правда когда я добавил в IPv4 Local Network/s OPENVPN - 192.168.10.0/24 - стало пинговаться, но 10.2 - нет)
по поводу камеры - ничего там не стоит, да и в любом случае должно на 192.168.5.1 заходить… а ничего из этого не пингуется...
