Как по ВПН соединить две сети с одинаковым поддиапазоном 192.168.0.1/24?
Есть две самостоятельные локальные сети (условно СЕТЬ1 и СЕТЬ2). У обеих локальный диапазон за NAT 192.168.0.1/24.
На роутере СЕТИ1 настроен VPN-сервер (даже два - Wireguard и L2TP), поддиапазон 10.1.1.1/24.
Компьютер, находящийся в СЕТИ2 соединяется по VPN с роутером из СЕТИ1. И ему нужен доступ к компам 192.168.0.xxx из СЕТИ1.
Я раньше был уверен, что при подключении VPN все маршруты идут через него, но, к сожалению, это не так.
В СЕТИ2 есть точно такие же адреса и пингуются именно они, а вовсе не удаленные компы из СЕТИ1.
Можно ли как-то решить вопрос маршрутизации?
Доступа к роутеру СЕТИ2 нет, к роутеру СЕТИ1 - есть, но диапазон адресов меня нельзя.
РЕШЕНО.
Всем спасибо. Будем с админом на выходных переводить сетку в другой диапазон. Пара серверов с кучкой сервисов, 8 видеокамер, 2 домофона, видеорегистратор, NAS-ы с бэкапами, два десятка компов, десяток компов удаленных сотрудников, какая-то еще херотень из "умного дома"... И везде маршруты по локальным ip зашиты.
Чувствую, наверняка что-нибудь где-нибудь забудем, следующая рабочая неделька у админа горячая будет.
Ты постоянно будеш спотыкаться об эту проблему, правильное решение поменять подсеть.
Не правильное решение - использовать netmap, на том же микротик пожно настроить netmap для всей сети всего в несколько правил, клиент VPN будет обращаться к адресу 192.168.10.120, а микрот подменять IP на 192.168.0.120.
Совершенно не понимаю, зачем менять подсеть, если вы подключаете 1 устройство по VPN. Объединение сетей - дело другое.
1. Подключаетесь к VPN-серверу, получаете адрес 10.1.1.XXX
2. На роутере сети 1 разрешаете трафик между 10.1.1.XXX и сетью роутера. Важно - роутер должен быть шлюзом по умолчанию для хостов своей сети, или их дефолтный шлюз должен перенаправлять запросы к сети 10.1.1.0/24 на роутер.
3. На хосте 10.1.1.XXX пишете простенькие скрипты для установления и разрыва VPN-соединения, которые после поднятия VPN прописывают маршрут(ы) до нужных хостов в сети 1, а перед разрывом VPN-соединения их уничтожают. При добавлении необходимо поставить metric меньше On-Link маршрута и указать интерфейс, но это решаемо.
В общем, геморрой ещё тот, конечно, но если есть необходимость - сделать можно, было бы желание. Самое напрягающее здесь, пожалуй - если нужен доступ не до одного-двух хостов, а на два порядка больше, то и маршрутов будет соответствующее количество, а прописать их диапазоном с маской не получится: у вас шлюз сети 2 тогда недоступен будет, соответственно, в интернет доступ обрубится и VPN тоже отвалится.
А так - Руслан Федосеев прав. Маленький роутер с собой (типа какого-нибудь Olax MT30) - самое простое решение. Ещё и SIM-карту можно поставить, и когда с WiFi всё плохо - через мобильную связь работать можно (не советую прям вот этот роутер, просто рекомендую обратить внимание на этот класс устройств).
Классика говорит, что НЕТ!
Сети НЕ ДОЛЖНЫ ПЕРЕСЕКАТЬСЯ!
"Костыли" при определенных условиях возможны, вроде proxy arp, проброса портов и.т.д.
Но они имеют свои ограничения и условия применимости.
Самое правильное одну из сетей перекинуть в другой диапазон, например
192.168.1-255.0/24
Если так уж принципиально 192.168.0.xxx
Можно одну сеть сделать
192.168.0.0/25 (адреса 1-126)
вторую
192.168.0.128/25 (адреса 129-254)
Если в каждой сети менее 120-ти хостов,
и маршруты 192.168.0.0/24 указать в VPN.
Учитывая отсутствие возможности изменения второй сети и жесткое условие сохранения адрессации -- нормального решения НЕТ!
Узел 192.168.0.12 в сети 1 НИКОГДА не сможет связаться (по IP) с узлом 192.168.0.12 в другой сети.
Вот СОВСЕМ!
(Проброс портов не считаем, это несколько иное условие).
Жаль, что более простого решения нет. На самом деле я задачу слегка абстрагировал.
В реале - СЕТЬ1 - это рабочая сеть 192.168.0.1/24, в которой прописана куча маршрутов и тьма устройств, включая видеокамеры, видеорегистратор, NAS, разные серверы. Менять глобально диапазон в ней нежелательно, т.к. многие устройства общаются между собой по IP и везде править сотни настроек гемор. Но доступ к роутеру есть и маршруты прописать можно.
И в эту сеть я выхожу через VPN с ноутбука из общественных сетей. Вот собственно проблема возникает потому что каждая вторая общественная сеть настроена на раздачу адреса в диапазоне DHCP 192.168.0.xx. (условно в вопросе я назвал подобную сеть СЕТЬ2) и тогда происходит затык.
Есть одно решение, если Ноутбук;
Делаете на ноуте виртуалку, Сеть для виртуалок выбираете что-то вроде 10.254.220.0/24 (Чтоб вероятность пересечения с открытыми была пониже) VPN поднимаете с виртуалки.
Для виртуалки сеть 192.168.0.0/24 будет одна и ЗА VPN-ом.
Для целей большинства задач должно хватить мощностей виртуалки.
IKStantin, вот поэтому обычно офисные сети и не делают в подобной подсети..
хотя кто догадался делать гостевой вифи в этой подсети, надо вообще голову оторвать.
но скоере всего там просто на кинетике \ асусе поставили галочку "гостевая сеть" и всё))
поставьте между ноутбуком и общественной сетью еще одно устройство. Например роутер. Правда не каждая общественная сеть разрешит к себе роутер подключить )
Но вообще - проблема у вас в том, что у вас есть connected маршрут на 192.168.0.0/24 и gw в нем. И чтобы подключиться к впн серверу - вы должны прописать маршрут до впн сервера через шлюз общественной сети. Но перекрыть connected маршрут вы не сможете. Теперь смотрим на ситуацию, когда к общественной сети подключился роутер. Он получил от нее адрес в 192.168.0.0. А вам он раздает например 172.18.47.0/24. Таким образом вы у себя на ноуте прописываете адрес впн сервера через шлюз 172.18.47.1, далее ваш трафик натится и доходит до впн сервера. Теперь ваш ноутбук подключен к вашему впн и не имеет connected маршрута для 192.168.0.0/24
asmelnik, эти диапазоны выделенные для серых адресов, это да.
но хорошим тоном считает не делать гостевую сеть в диапазонах 192.168.0.0 \ 24 или 192.168.1.1 \ 24
вот и всё
а делать или где то выше, типа 200й сети, или в подсети 172.... или 10....
Руслан Федосеев, Ходить по общественным местам (в основном это офисы мелких компаний либо кафе) со своим роутером как-то не очень. Менять подсеть на предприятии мне не дадут.
С виртуалкой либо через смартфон - разумное решение.
Может есть какой-то простой софтовый роутер для мак, чтобы трафик через себя пропускал?
С OpenVPN это сделать сравнительно легко — у него имеется встроенное средство переназначения сетей.
--client-nat args
This pushable client option sets up a stateless one-to-one NAT rule on packet addresses (not ports), and is useful in cases where routes or ifconfig settings pushed to the client would
create an IP numbering conflict.
Examples:
client-nat snat 192.168.0.0/255.255.0.0
client-nat dnat 10.64.0.0/255.255.0.0
network/netmask (for example 192.168.0.0/255.255.0.0) defines the local view of a resource from the client perspective, while alias/netmask (for example 10.64.0.0/255.255.0.0) defines
the remote view from the server perspective.
Use snat (source NAT) for resources owned by the client and dnat (destination NAT) for remote resources.
Set --verb 6 for debugging info showing the transformation of src/dest addresses in packets.
А с другими типами — использовать ядерное переназначение через iptables/nftables: DNAT/SNAT, NETMAP.
IKStantin, ну тогда я бы в офисе установил пк с удаленкой, с rdp например, и работал бы с него
Либо используйте проброс портов, до нужных железок
Написано
CityCat4
@CityCat4 Куратор тега Сетевое оборудование
//COPY01 EXEC PGM=IEBGENER
Никак.
Есть различные костыли, типа пробросов портов или EoIP (если на обеих сторонах микротики) и в теории 192.168.0.1 из одной сети сможет связаться с 192.168.0.2 из другой, но в таком случае в обеих сетях запрещен DHCP (который ничего не знает о допустимом диапазоне выделения IP).
Ну, а уж коннекта между 192.168.0.1 из одной сети и 192.168.0.1 из другой сети не будет никогда и ни за что :)
Ну такого коннекта обычно не требуется.
В Сети2 адрес по произволу назначается DHCP (пусть будет условно 192.168.0.10, шлюз 192.168.0.1). Достучаться нужно до серверов, видеокамер или NAS Сети1 с адресами 192.168.0.2, 192.168.0.3, 192.168.0.4 и т.д. Проблема в том что в Сети2 тоже устройства с такими же адресами могут быть.
Написано
CityCat4
@CityCat4 Куратор тега Сетевое оборудование
IKStantin, Задача имеет решение только если есть управление и одной сетью и другой. Настроить dhcp так, чтобы в одной сети он выдавал в одной половине, в другой - в другой половине. Если доступа к управлению обеими роутерами нет - задача не имеет решения.
а ни че что в "обычной схеме", клиент получает адрес из пула vpn сервера. в этом случае ни сучка ни задоринки..
это и "камент" всем коллегами выше.
но равно и вопрос ТС - все таки подробнее о настройках видимо надо
ps
(даже два - Wireguard и L2TP)
может один лишний? и/или неудачно настроен?
pps но разводить сети явно надо, если вы хотите иметь прозрачный доступ и к ресурсам офисной сети, и клиентов друг с другом
(даже два - Wireguard и L2TP)
может один лишний? и/или неудачно настроен?
Два - в том смысле, что пробовал оба по очереди. Разницы нет.
а ни че что в "обычной схеме", клиент получает адрес из пула vpn сервера
Да, после соединения с VPN клиент получает адрес из пула 10.1.1.1/24. И даже в настройке VPN на маке стоит галочка "Отправлять весь трафик через VPN". Но это не помогает все-равно по 192.168.0.x пингуются адрес из текущей сети.
- если клиент пропингует адрес другого клиента?
- сколько у вас сетей? если 2 офисных.. я видел решение (не скажу что согласен, но оно работало) 192.168.0.x/24, везде уникальные адреса */16, и разбивка по 3му октету.. (на филиал.. (хотя 10.*.*.* было бы логичнее.. но.. у людей работало )))
IKStantin, там у них фишка была 192.168.0.x/24, но локальные dhcp раздавали 192.168.x.x/16.. но общее пространство 192.168.0.x/24.. и работало.. (см выше критику ))... ну и удачи ))
#, Фишка в том, что в Сети1 (офисной) уже например есть 192.168.0.2 (вообще там около 50 устройств с фиксированными IP и еще).
А в Сети2 (чужой офис, кафе, чужая квартира, интернет в хостеле и т.п.) я вообще dhcp не контролирую - мне любой адрес могут выдать.
#, Ну предположим в Сети2 тоже какому-либо компьютеру или телефону раздали 192.168.0.2.
И я из-за этого не могу попасть на свой сервер 192.168.0.2 из Сети1.
Сети в офисах должны быть разными.
У меня во всех офисах разные подсети.
Микроты офисы обьединяют через туннели.
Так вот иногда провайдеры чудят.
Будешь использовать костыли и когда поднимешь тунель на Wireguard то он не заработает ткткостыль был для OPEN VPN.
Как сделал я.
10.1.х.х - первый офис
10.2.х.х - 2 офис
10.3.х.х - 3 офис.
10.х.1.х - сервера и коммутаторы
10.х.2.х - пк и принтеры
10.х.3.х - ip телефония
10.х.4.х - сб. Камеры, скуд
10.х.5.х - wifi
10.x.6.x - изолированный wifi_guest. Без доступа ко внутренней сети.
Сложный
