Почему при VPN доступ работает в одну сторону?

Question

[nocufa]

Здравствуйте, такая проблема: настроил vpn, в главном офисе сервер Fortigate, в филиале Mikrotik. Из филиала с любого пк есть доступ к любому пк в главном офисе (пинг, RDP и тд), из главного офиса с компьютеров можно пропинговать в филиале только Mikrotik и Zyxel (доступен и пинг и веб-интерфейс).
RDP на пк филиала не проходит, tracert показывает следующее:
C:\Users\dsn>tracert 192.168.11.119
Трассировка маршрута к 192.168.11.119 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс 192.168.10.1
2 2 ms 1 ms 1 ms 192.168.11.5
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.
6 * * * Превышен интервал ожидания для запроса.

Подскажите пожалуйста в чем может быть проблема. правила firewall на mikrotik все выключил. спасибо

Comments

[Sand]

Покажите трассировку в другую сторону

[nocufa]

Sand,
C:\Users\dsn>tracert 192.168.10.79

Трассировка маршрута к *** [192.168.10.79]
с максимальным числом прыжков 30:

1 <1 мс <1 мс <1 мс 192.168.11.1
2 <1 мс <1 мс <1 мс 192.168.11.5
3 * * * Превышен интервал ожидания для запроса.
4 57 ms 56 ms 54 ms *** [192.168.10.79]

Трассировка завершена.

[Sand]

nocufa, адреса сетей у Вас 192.168.11.0/24 и 192.168.10.0/24?

[nocufa]

Sand, да, в главном офисе 192.168.10.0/24 и 192.168.11.0/24 в филиале соответственно. в филиале шлюзом стоит 192.168.11.1 на котором прописан маршрут для DST address 192.168.10.0/24 отправлять на микротик с которого и поднят vpn.

[Sand]

nocufa, А если Вы на хосте 192.168.11.119 добавите маршрут:

route add 192.168.10.0 mask 255.255.255.0 192.168.11.5

(cmd запуск от администратора), как изменится трассировка маршрутов в обе стороны, и будет ли доступен хост 192.168.11.119 с хостов главного офиса?

[nocufa]

Sand,
C:\Windows\system32>tracert 192.168.10.79
Трассировка маршрута к *** [192.168.10.79]
с максимальным числом прыжков 30:
1 <1 мс <1 мс <1 мс 192.168.11.5
2 * * * Превышен интервал ожидания для запроса.
3 25 ms 23 ms 22 ms *** [192.168.10.79]
Трассировка завершена.
C:\Users\dsn>tracert 192.168.11.119
Трассировка маршрута к 192.168.11.119 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс 192.168.10.1
2 2 ms 1 ms 1 ms 192.168.11.5
3 2 ms 2 ms 5 ms 192.168.11.119
Трассировка завершена.

[nocufa]

Sand, хост стал доступен. получается на микротик нужно какой-то маршрут добавить, чтобы на кождом хосте 192,168,11,0/24 маршруты не писать?

[Sand]

nocufa, компьютеры 192.168.11.0/24 получают настройки по dhcp? Кто сервер dhcp? На нём и нужно указать слать клиентам маршрут в сеть 192.168.10.0/24 через 192.168.11.5. Либо изменять схему сети

[nocufa]

Sand, получают по dhcp, сервер dhcp 192.168.11.1 на котором есть маршрут
Сеть назначения: 192.168.10.0/24 Шлюз: 192.168.11.5 Интерфейс:Home

[Sand]

nocufa, модель zyxel?

[nocufa]

Sand, Модель Keenetic Ultra

[Valentin Barbolin]

Все же очевидно.
Если сеть в одну сторону полностью работает (можно установить соединений), а в обратную нет, то первое что надо проверить это NAT и firewall.

Я ставлю на NAT, кажется ты натишь исходящий трафик в VPN тунель на микроте.

Answer 1

[Sand]

Проблема в маршрутизации, у Вас трафик петляет между 192.168.11.5 192.168.11.1 192.168.11.119. При этом, похоже, где-то в сети используется NAT, а где-то routing, поэтому в одну сторону работает. Варианты решения:
1) отправляем клиентам dhcp сервера 192.168.11.1 static routes (DHCP option 121), инструкция тут. Нужно отсылать по DHCP статический маршрут в сеть 192.168.10.0/24 через 192.168.11.5
2) Переделать схему сети, точно указать где будет NAT, а где routing. Возможно, вывести роутеры 192.168.11.1 и 192.168.11.5 из одной подсети
ЗЫ: первый вариант это костыль, с ним ещё будут проблемы в будущем, годен лишь как временное решение. Но правильнее, как написал Alexey Dmitriev, переделать топологию сети

Comments

[nocufa]

спасибо, варианты отличные, но не мой случай.
1) версия по на моём zyxel еще этого не может
2) согласен с этим вариантом, скорее всего в ближайшее время буду его применять. но пока временно применил другое решение.

Answer 2

[Alexey Dmitriev]

Если я не путаю - у вас какая-то дикая топология.
Почему Вы не открываете VPN на fortigate или c Keenetic, стоящего на входе в филиале, или не поставили Microtik на вход в и данном случае не открываете VPN с него?
Добавьте в карту VPN соединение.
Но подозреваю, что Keenetic не пропускает транзитные пакеты из локальной сети главного офиса.

Comments

[nocufa]

топология такая, потому что не хотел менять существующую и как временное решение воткнуть в сеть микротик, поднять впн, и через впн сделать доступ в локальную сеть главного офиса. существующий доступ в интернет трогать не стал, оставил все как есть

[Alexey Dmitriev]

nocufa, тогда используйте кинетик для VPN. Ничего менять не надо просто создать соединение с него на Fortigate. Надеюсь, кинетик у вас свежий со свежей прошивкой?

[nocufa]

кинетик может впн, но пока применил другое решение, хотя в ближайшее время буду убирать кинетик и оставлять только микротик

Answer 3

[nocufa]

как временное решение применил: на mikrotike настроил mangle для перенаправления всего трафика из сети fortigate через zyxel (192.168.11.1). всем спасибо за ответы

Comments

[Sand]

При таком варианте к микротику не будет доступа из сети 192.168.11.0/24, не забудьте об этом)

[nocufa]

при настройке mangle указывал, что маркировать только пакеты у которых source address 192.168.10.0/24, поэтому доступ к микротику из сети 192.168.11.0/24 не пропал

Answer 4

[mbxmin]

Расcмотрите настройку VPN, как site-to-site.