Как получить доступ у серверу извне?

Question

[Paark]

Есть две удаленные друг от друга сети: 192.168.1.0 и 192.168.2.0
Есть сервер с адресом 10.10.30.2
Сервер соединен с компьютером 192.168.1.15 через ssh. И все компьютеры сети 192.168.1.0 имеют доступ к серверу.
Компьютеры 192.168.1.23 и 192.168.2.13 соединены через vpn. Статические маршруты прописаны на обоих этих компьютерах и на роутерах этих сетей. Т.е. все компьютеры пингуют друг друга.
Но у компьютеров сети 192.168.2.0 нет доступа к серверу. Почему? Что еще надо сделать? Нужно какие то порты пробрасывать? Сам сервер находится вообще в удаленном месте, даже не в сети 192.168.1.0

Comments

[Akina]

На 192.168.2.13 нужен маршрут в подсеть сервера, как минимум.

[Дмитрий]

Наличие ssh между сетью 192.168.1.0 и сервером не объясняет способа связи. Каким маршрутом идет трафик из обеих сетей к серверу? Нарисуйте схемку, хоть на бумажке.
Какие маршруты есть у сервера? Есть ли маршруты в каждую из ваших сетей?

[Drno]

Маршрут до сервера прописали? В локалке он там как прописан? Nat включен на впн сервере?

[Paark]

Akina, да, забыл уточнить. На 192.168.2.13 есть маршрут на 10.10.30.2. На сервере отключены icmp пакеты и я не могу отследить куда пакеты идут. Но pathping в обоих сетях показывают одинаковый маршрут.
Примерно такой:
1. 192.168.1.13
2. 192.168.1.1
3. И тут маршрут к провайдеру( в обоих сетях он один и тот же).
И дальше пустота.

[Paark]

Drno, возможно нет.
Впн сервер на винде. Включал только forwarding

[ValdikSS]

1. На сервере должен быть маршрут до обеих сетей, либо на роутере, к которому подключён сервер, должен быть маршрут до обеих сетей
2. На всех компьютерах обеих сетей должен быть маршрут до сервера, либо на роутерах в обеих сетях должен быть такой маршрут

[Paark]

ValdikSS, на сервере маршрут только до 192.168.1.0, и у роутеров обоих сетей есть маршрут к серверу. Без маршрута от сервера к 192.168.2.0, компьютеры этой сети не будут иметь доступ к серверу?

[Paark]

Дмитрий, у меня нет прямого доступа к серверу. Но у сервера как минимум есть маршрут к 192.168.1.15, возможно и 192.168.1.1
К сети 192.168.2.0 у сервера нет маршрута.

[Дмитрий]

Paark, вы сами себе противоречите, либо не дайте всей информации.

забыл уточнить. На 192.168.2.13 есть маршрут на 10.10.30.2

Значит есть вероятность, что маршрут до 192.168.2.0 есть, либо вы молчите про туннель между сервером и 192.168.2.13

К сети 192.168.2.0 у сервера нет маршрута.

А как же тогда они связаны с 192.168.2.13?

Без схемы подключений все еще ничего не понятно.
Сделайте pathping до сервера с машины 192.168.2.13 - что показывает? Исходя из этого надо плясать дальше

[Paark]

Дмитрий,
Там такая схема.


Трассировка из 192.168.2.13:
0 HOME-PC [26.10.22.19]
1 User [26.24.45.185]
2 192.168.1.1
3 213.228.116.207 (<- адрес провайдера)
4 * * *

Трассировка из 192.168.1.23:
0 User [192.168.1.23]
1 router.lan [192.168.1.1]
2 213.228.116.207 (<- адрес провайдера)
3 * * *

Как я понял на сервере запрещены icmp пакеты и пинги не доходят. Но в сети 192.168.1.0 есть доступ к серверу.
Я точно не знаю почему он в интернет уходит. Но если 192.168.1.15 будет выключен, то доступа к в сети 192.168.1.0 не будет.

[Дмитрий]

Paark, Исходя из этой картинки - на роутере 192.168.2.1 должен быть статический маршрут до 10.10.30.2 (или 10.10.50.2 как на картинке) через 192.168.2.13.
На 192.168.2.13 должен быть маршрут до 10.10.30.2 через 192.168.1.23 (скорее всего через его внутренний vpn-адрес).
На 192.168.1.23 должен быть маршрут до 10.10.30.2 через 192.168.1.15 и до 192.168.2.0 через 192.168.2.13 (скорее всего его внутренний vpn-адрес)
На роутере 192.168.1.1 должен быть маршрут до 10.10.30.2 через 192.168.1.15 и до сети 192.168.2.0 через 192.168.1.23
На сервере 10.10.30.2 должен быть маршрут до сетей 192.168.1.0 и 192.168.2.0 через 192.168.1.15 (смотря как он с ним связан)

[Paark]

Дмитрий, все проверил. все есть кроме маршрута от 10.10.30.2 до 192.168.2.0. Без этого маршрута никак? Я сейчас просто не смогу его добавить. У нас просто есть еще vpn сервер с белым ip. Если подключиться к нему из условно 192.168.2.13, то доступ к 10.10.30.2 появляется на этом компьютере. Я хотел попробовать сделать схожее, но пока не выходит. У vpn сервера с белым ip по идее же нет маршрута к 192.168.2.0.

[Дмитрий]

Paark, даже если сможете подключиться через другой впн, никто в сети 192.168.2.0 не сможет попасть на сервер пока тот не узнает о существовании этой сети через маршрут. Как крайний вариант - можно на конечном хосте 192.168.1.13 сделать сурс-нат для обращения на сервер, чтобы он все сурс-адреса подменял своим туннельным

[Paark]

Дмитрий, не, там только тот компьютер который подключился через впн с белым ip имеет доступ к серверу. А как этот сурс нат можно сделать на винде и можно ли?

[Дмитрий]

Paark, с виндой проблематично. Может что-то типа этого поможет

Answer 1

[CityCat4]

Рисуем схему.
Обозначаем подсети и адреса.
Берем и пытаемся "вручную" доставить пакет от точки к точке. Что значит "вручную"? Это значит, что проговариваем действия, которые должна выполнить система для успешной доставки пакета (абстрагируясь в этот момент от того, что там стоит).
Когда пакет "доставлен" - начинаем проверять - а все ли необходмые условия для его доставки соблюдены? Маршрутизация, разрешение на файрволлах, NAT, всевозможные хитрости... и таким образом приходим к тому, что надо сделать.

Answer 2

[Akina]

Любой маршрут пакета может быть представлен так:

(source IP1) - (IP2 router1 IP3) - (IP4 router2 IP5) - ... - (IPn destination)

У тебя весь маршрут точно известен. А потому временно добавляем на источнике (IP1) маршруты во все промежуточные подсети, если они не покрываются маршрутом по умолчанию или более широкими частными маршрутами, и с источника (IP1) начинаем последовательно пинговать IP2, IP3, IP4, .. и так до узла назначения.

Где-то возникнет проблема, и очередной IP не ответит. Вот именно знание, кто не ответил, и какой именно тип ошибки пинга возвращён, и позволит определить, на каком узле и по какой причине грабли. Конечно, следует понимать, что в маршруте может быть несколько последовательных ошибок, и даже несколько параллельных на одном узле.

Например, если проходит пинг на IP4, но не проходит на IP5, то в случае ответа No route to host проблема - в отсутствии маршрута в подсеть IP5 на узлах source (забыли добавить или сделали это неправильно) или router1, а в случае ответа Timeout проблемы с маршрутизацией на узле router2 или файрволом на любом из трёх задействованных в маршруте узлов.