видимость PPTP юзера из внутренней сети

gr0mW

Поднимайте туннель между офисом (pfsense) и филиалом (keenetic). Можно openvpn, l2tp и тд. Желательно site-to-site. Тогда будет видно камеры для пользователей офиса. Ну а дальше правила доступа по желанию.

werter

есть удаленный офис с веб камерами, но с серым IP адресом (роутер Zyxel keenetic 4g)

Какая адресация в этой сети?

Menog

@werter:

есть удаленный офис с веб камерами, но с серым IP адресом (роутер Zyxel keenetic 4g)

Какая адресация в этой сети?

192.168.3.0/24

серый IP для выхода в инет 172.20.72.139
Маска подсети: 255.255.252.0

werter

вопрос  как сделать так, чтобы клиенты видели удаленный keenetic?

Зачем вашим пол-ям подключаться к зюхелю, причем тут он ?! Вам к камерам надо? Так и обращайтесь к адресам камер.

Покажите скрины fw на PPTP.

Menog

Ну я имел ввиду естественно, подключение к серверу камер-регистратору - в пером скрине указан проброс портов.
но работает только по 80-му порту, опять же благодаря Squidу, как я понял - иначе доступ к 192.168.2.131 недоступен.

я пробовал подключится к pfsense главному серверу извне по порту 9000 и настройкам форвардинга портов как указано в последнем скрине - тоже бестолку.

werter

Убирайте port forwarding на WAN pfsense и в настройках zyxel. Не нужет он там.
Ваш zyxel устанавливает pptp-сессию c pfsense. После этого всё рулится правилами fw на pfsense и на zyxel.
Вы на zyxel разрешили на pptp прохождение трафика ? Возможно, что и маршрутизацию надо будет настраивать на zyxel, т.к. он может
ВЕСЬ трафик заворачивать в туннель.

Проверяйте эти моменты.
И научитесь использовать tracert и telnet в конце концов.

P.s. Скрин правил fw на LAN покажите.

Menog

если я уберу port forwarding в настройках zyxel, тогда даже по 80-му порту (http://192.168.2.131) из главного офиса  будет открываться не WEB регистратор а сам зюксель.

port forwarding на WAN pfsense и в настройках zyxel.

K:\Docs\Work\GIT\emlib>tracert 192.168.2.131

Трассировка маршрута к 192.168.2.131 с максимальным числом прыжков 30

  1    <1 мс    <1 мс    <1 мс  pfsense.tts [192.168.2.1]
  2     *        *        *     Превышен интервал ожидания для запроса.

WAN/LAN FW на Pfsense аналогичен PPTP FW - т.е. открыто всё сейчас.

werter

У вас камеры нах-ся в сети 192.168.3.0/24 ?
Ну так и обращайтесь к ним. Зачем вы обращаетесь к адресу одного из концов туннеля?

Сделайте tracert до одного из адресов камер в сети .3.х с машины за pfsense.

Убирайте port forwarding на WAN pfsense и в настройках zyxel. Не нужет он там.

!!!

Menog

хм…тогда где я должен прописать маршруты к 3.0/24 в pfsense?
создать дополнительный интерфейс?

Menog

Все, разобрался я…. в итоге поменял удаленный офис на 192.168.5.0/24 сеть
главный офис остался 192.168.2.0/24
создал там VPN сервер 192.168.10.1 и VPN клиента удаленного офиса 192.168.10.2
прописал маршруты и там и там и всё заработало))
спасибо за наводящие ответы))
что-то я действительно с этим SQUIDом затупил...

werter

Я бы тольку pptp-клиенту назначил static ip при подключение или ограничил кол-во pptp-клиентов одним.

Menog

я так и сделал - 10.2 стоит в статике.

единственное, не могу подключенным Openvpn клиентом к главному офису увидеть 5.0/24 подсетку….а хотелось бы так же извне камеры видеть.
ставил 192.168.5.0/24 и в IPv4 Local Network/s и в IPv4 Remote Network/s (см скриншот)
и 192.168.10.0/24(PPTP server/client) туда и туда пробовал

никак не работает(((

werter

@Menog:

я так и сделал - 10.2 стоит в статике.

единственное, не могу подключенным Openvpn клиентом к главному офису увидеть 5.0/24 подсетку….а хотелось бы так же извне камеры видеть.
ставил 192.168.5.0/24 и в IPv4 Local Network/s и в IPv4 Remote Network/s (см скриншот)
и 192.168.10.0/24(PPTP server/client) туда и туда пробовал

никак не работает(((

Покажите таблицу маршрутизации у клиента при поднятом OpenVPN

Menog

F:\Tyrant>route print
===========================================================================
Список интерфейсов
 13...00 ff c3 21 ff a0 ......TAP-Windows Adapter V9
 12...00 00 00 00 00 10 ......Сетевая карта Realtek RTL8168C(P)/8111C(P) Family PCI-E Gigabit Ethernet NIC (NDIS 6.20)
  1...........................Software Loopback Interface 1
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.23    266
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0    255.255.255.0         On-link      192.168.1.23    266
     192.168.1.23  255.255.255.255         On-link      192.168.1.23    266
    192.168.1.255  255.255.255.255         On-link      192.168.1.23    266
      192.168.2.0    255.255.255.0     192.168.8.13     192.168.8.14     20
      192.168.5.0    255.255.255.0     192.168.8.13     192.168.8.14     20
      192.168.8.1  255.255.255.255     192.168.8.13     192.168.8.14     20
     192.168.8.12  255.255.255.252         On-link      192.168.8.14    276
     192.168.8.14  255.255.255.255         On-link      192.168.8.14    276
     192.168.8.15  255.255.255.255         On-link      192.168.8.14    276
     192.168.10.0    255.255.255.0     192.168.8.13     192.168.8.14     20
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      192.168.1.23    266
        224.0.0.0        240.0.0.0         On-link      192.168.8.14    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      192.168.1.23    266
  255.255.255.255  255.255.255.255         On-link      192.168.8.14    276
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0      192.168.1.1  По умолчанию
===========================================================================

192.168.2.0/24 вся сетка работает
192.168.10.1 пингуется (Pfsense VPN)
192.168.10.2(роутер Zyxel VPN), 192.168.5.1  (роутер Zyxel VPN), 192.168.5.10(камера регистратор)  - нет

werter

Что говорит tracert -d 192.168.5.1 с клиента ?

Клиентская сеть - 192.168.1.0/24? Если это так, то на сервере нет маршрута в эту сеть.  В настройках pfsense добавьте в IPv4 Remote network 192.168.1.0/24

Скрины fw на LAN, WAN, OpenVPN pfsense ?

192.168.10.2(роутер Zyxel VPN)

Этот адрес может и не пинговаться. Не проверяйте на нем.

192.168.5.10(камера регистратор)

У нее в настройках не стоит разрешение доступа ТОЛЬКО из локальной сети ?

Menog

да, дома я из под роутера (192.168.1.1) захожу

сейчас такой вот роут:

F:\Tyrant>route print
===========================================================================
Список интерфейсов
 13...00 ff c3 21 ff a0 ......TAP-Windows Adapter V9
 12...00 00 00 00 00 10 ......Сетевая карта Realtek RTL8168C(P)/8111C(P) Family PCI-E Gigabit Ethernet NIC (NDIS 6.20)
  1...........................Software Loopback Interface 1
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.23    266
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0    255.255.255.0         On-link      192.168.1.23    266
     192.168.1.23  255.255.255.255         On-link      192.168.1.23    266
    192.168.1.255  255.255.255.255         On-link      192.168.1.23    266
      192.168.2.0    255.255.255.0      192.168.8.5      192.168.8.6     20
      192.168.5.0    255.255.255.0      192.168.8.5      192.168.8.6     20
      192.168.8.1  255.255.255.255      192.168.8.5      192.168.8.6     20
      192.168.8.4  255.255.255.252         On-link       192.168.8.6    276
      192.168.8.6  255.255.255.255         On-link       192.168.8.6    276
      192.168.8.7  255.255.255.255         On-link       192.168.8.6    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      192.168.1.23    266
        224.0.0.0        240.0.0.0         On-link       192.168.8.6    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      192.168.1.23    266
  255.255.255.255  255.255.255.255         On-link       192.168.8.6    276
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0      192.168.1.1  По умолчанию

в IPv4 Remote network 192.168.1.0/24 добавил, перестало пинговаться даже 192.168.10.1 (правда когда я добавил в IPv4 Local Network/s OPENVPN  - 192.168.10.0/24 - стало пинговаться, но 10.2 - нет)

по поводу камеры - ничего там не стоит, да и в любом случае должно на 192.168.5.1 заходить… а ничего из этого не пингуется...