Как по ВПН соединить две сети с одинаковым поддиапазоном 192.168.0.1/24?

Есть две самостоятельные локальные сети (условно СЕТЬ1 и СЕТЬ2). У обеих локальный диапазон за NAT 192.168.0.1/24.
На роутере СЕТИ1 настроен VPN-сервер (даже два - Wireguard и L2TP), поддиапазон 10.1.1.1/24.
Компьютер, находящийся в СЕТИ2 соединяется по VPN с роутером из СЕТИ1. И ему нужен доступ к компам 192.168.0.xxx из СЕТИ1.
Я раньше был уверен, что при подключении VPN все маршруты идут через него, но, к сожалению, это не так.
В СЕТИ2 есть точно такие же адреса и пингуются именно они, а вовсе не удаленные компы из СЕТИ1.
Можно ли как-то решить вопрос маршрутизации?
Доступа к роутеру СЕТИ2 нет, к роутеру СЕТИ1 - есть, но диапазон адресов меня нельзя.

РЕШЕНО.
Всем спасибо. Будем с админом на выходных переводить сетку в другой диапазон. Пара серверов с кучкой сервисов, 8 видеокамер, 2 домофона, видеорегистратор, NAS-ы с бэкапами, два десятка компов, десяток компов удаленных сотрудников, какая-то еще херотень из "умного дома"... И везде маршруты по локальным ip зашиты.
Чувствую, наверняка что-нибудь где-нибудь забудем, следующая рабочая неделька у админа горячая будет.
  • Вопрос задан
  • 2682 просмотра
Решения вопроса 1
@asmelnik
Классика говорит, что НЕТ!
Сети НЕ ДОЛЖНЫ ПЕРЕСЕКАТЬСЯ!

"Костыли" при определенных условиях возможны, вроде proxy arp, проброса портов и.т.д.
Но они имеют свои ограничения и условия применимости.

Самое правильное одну из сетей перекинуть в другой диапазон, например
192.168.1-255.0/24
Если так уж принципиально 192.168.0.xxx
Можно одну сеть сделать
192.168.0.0/25 (адреса 1-126)
вторую
192.168.0.128/25 (адреса 129-254)
Если в каждой сети менее 120-ти хостов,
и маршруты 192.168.0.0/24 указать в VPN.

Учитывая отсутствие возможности изменения второй сети и жесткое условие сохранения адрессации -- нормального решения НЕТ!
Узел 192.168.0.12 в сети 1 НИКОГДА не сможет связаться (по IP) с узлом 192.168.0.12 в другой сети.
Вот СОВСЕМ!
(Проброс портов не считаем, это несколько иное условие).
Ответ написан
Пригласить эксперта
Ответы на вопрос 7
ValdikSS
@ValdikSS
С OpenVPN это сделать сравнительно легко — у него имеется встроенное средство переназначения сетей.

--client-nat args
        This pushable client option sets up a stateless one-to-one NAT rule on packet addresses (not ports), and is useful in cases where routes or ifconfig settings pushed to the  client  would
        create an IP numbering conflict.

        Examples:

            client-nat snat 192.168.0.0/255.255.0.0
            client-nat dnat 10.64.0.0/255.255.0.0

        network/netmask  (for  example  192.168.0.0/255.255.0.0) defines the local view of a resource from the client perspective, while alias/netmask (for example 10.64.0.0/255.255.0.0) defines
        the remote view from the server perspective.

        Use snat (source NAT) for resources owned by the client and dnat (destination NAT) for remote resources.

        Set --verb 6 for debugging info showing the transformation of src/dest addresses in packets.


А с другими типами — использовать ядерное переназначение через iptables/nftables: DNAT/SNAT, NETMAP.
Ответ написан
Комментировать
@Drno
Нет. меняйте подсеть в одном из офисов. иначе будут проблемы
Ответ написан
CityCat4
@CityCat4 Куратор тега Сетевое оборудование
Внимание! Изменился адрес почты!
Никак.

Есть различные костыли, типа пробросов портов или EoIP (если на обеих сторонах микротики) и в теории 192.168.0.1 из одной сети сможет связаться с 192.168.0.2 из другой, но в таком случае в обеих сетях запрещен DHCP (который ничего не знает о допустимом диапазоне выделения IP).

Ну, а уж коннекта между 192.168.0.1 из одной сети и 192.168.0.1 из другой сети не будет никогда и ни за что :)
Ответ написан
@TheBigBear
СтарОдмины мы
Можно
Например, мой домашний комп сейчас считает, что находится в локалке офиса.
Если роутеры - микротики - поднимайте EOIP поверх VPN
Главное - запретить DHCP ходить туда-сюда по туннелю и ограничить пулы например офис1 .2-150 офис2 .151-254
https://wiki.soloshin.su/mikrotik/rb952ui-5ac2nd-t...
https://uchet-jkh.ru/i/nastroika-eoip-tunnelya-mik...
Но всё-таки стоит сделать разные подсети и прописать маршруты
Ответ написан
@Stariyded
Сетевой админ
Можно попробовать сделать маппинг сетей типа такого https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/...
Ответ написан
mindtester
@mindtester
http://iczin.su/hexagram_48
а ни че что в "обычной схеме", клиент получает адрес из пула vpn сервера. в этом случае ни сучка ни задоринки..
это и "камент" всем коллегами выше.
но равно и вопрос ТС - все таки подробнее о настройках видимо надо

ps
(даже два - Wireguard и L2TP)
может один лишний? и/или неудачно настроен?
pps но разводить сети явно надо, если вы хотите иметь прозрачный доступ и к ресурсам офисной сети, и клиентов друг с другом
Ответ написан
@Dupych
Сети в офисах должны быть разными.
У меня во всех офисах разные подсети.
Микроты офисы обьединяют через туннели.
Так вот иногда провайдеры чудят.
Будешь использовать костыли и когда поднимешь тунель на Wireguard то он не заработает ткткостыль был для OPEN VPN.
Как сделал я.
10.1.х.х - первый офис
10.2.х.х - 2 офис
10.3.х.х - 3 офис.

10.х.1.х - сервера и коммутаторы
10.х.2.х - пк и принтеры
10.х.3.х - ip телефония
10.х.4.х - сб. Камеры, скуд
10.х.5.х - wifi
10.x.6.x - изолированный wifi_guest. Без доступа ко внутренней сети.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы