Windows как маршрутизатор?

Question

[The_Immortal]

Устройство A (Windows 10 Pro) с 192.168.1.10/24 (локальная сеть) и 172.16.3.37 (VPN-подключение к устройству B).
Устройство B - Кинетик (192.168.43.1/24) c VPN-сервером.
Необходимо организовать доступ с Устройства B к сети Устройства A (192.168.1.0/24).

На Устройстве А:

• прописал маршрут до сети Устройства B:
  

  route add 192.168.43.0 MASK 255.255.255.0 172.16.3.37 if 33

  , где 33 - интерфейс VPN-подключения
  Устройство B c Устройства А доступно:
  

  >tracert 192.168.43.1
  
  Трассировка маршрута к 192.168.43.1 с максимальным числом прыжков 30
  
    1    10 ms    10 ms    15 ms  keen.home [192.168.43.1]
  
  Трассировка завершена.

  
  
  
• отключил Сетевой экран Касперского; системный фаервол отключен
  
• включил через реестр IpEnableRouter
  
• включил службу "Маршрутизация и удаленный доступ":
  

  Set-Service RemoteAccess -StartupType Automatic; Start-Service RemoteAccess

  
  
  
• включил форвардинг:
  Set-NetIPInterface -Forwarding Enabled
  

На Устройстве B прописал маршрут до сети Устройства А через VPN-интерфейс:
192.168.1.0/24 via 172.16.3.37 dev sstp1

Трассируюсь с Утройства B до Устройства A по его локальному адресу:

traceroute to 192.168.1.10 (192.168.1.10), 30 hops max, 38 byte packets
 1  172.16.3.37 (172.16.3.37)  11.659 ms  13.345 ms  *
 2  *  *  *
 3  *  *  *

- дальше VPN-интерфейса (172.16.3.37) не проходит...

Пожалуйста, подскажите, в рамках использования клиентского Windows задача не выполнима?

Спасибо!

---

UPD

включил форвардинг:
Set-NetIPInterface -Forwarding Enabled

Не очень правильно для всех интерфейсов включать форвардинг, поэтому поправился и включил на Устройстве А форвардинг только для VPN'а:

Set-NetIPInterface -Forwarding Disabled
Set-NetIPInterface -ifIndex 33 -Forwarding Enabled

После этого включил на Устройстве А Wireshark и начал отслеживать icmp для локальной сети Устройства А.
Далее с Устройства B (192.168.43.1) пингую Устройство А (192.168.1.10).

sending ICMP ECHO request to 192.168.1.10...
PING 192.168.1.10 (192.168.1.10) 56 (84) bytes of data.
--- 192.168.1.10 ping statistics ---
5 packets transmitted, 0 packets received, 100% packet loss,
0 duplicate(s), time 5002.70 ms.

Пинг не проходит, но при этом на Устройстве А по захвату icmp вот такая картинка:

Т.е. локальный интерфейс Устройства А отвечает Устройству B, но Устройство B ответ этот почему-то не получает, хотя соответствующий маршрут на Устройстве А имеется.

При этом с Устройства А прямой пинг на Устройство B проходит:

>ping 192.168.43.1

Обмен пакетами с 192.168.43.1 по с 32 байтами данных:
Ответ от 192.168.43.1: число байт=32 время=13мс TTL=64
Ответ от 192.168.43.1: число байт=32 время=11мс TTL=64

Что я не докрутил или перекрутил?..

---

UPD2

В общем, поменял SSTP на WG и включил форвардинг:
Set-NetIPInterface -ifIndex 33 -Forwarding Enabled // форвардинг для VPN'а
Set-NetIPInterface -ifIndex 9 -Forwarding Enabled // форвардинг для физического интерфейса локальной сети

Проблема решилась. Всем спасибо!

Comments

[res2001]

Дополнительные вопросы:
1. сети за А и В имеют разные адреса подсетей? Какие?
2. из описания не ясны ВПН адреса А и В.

На Устройстве B прописал маршрут до сети Устройства А через VPN-интерфейс:

То же самое надо сделать и на устройстве А для сети устройства В.
Ну и для теста отключите фаервол на винде. Если заработает, включите и если будет что-то блокировать, то надо будет вручную добавить разрешающие правила.

Пожалуйста, подскажите, в рамках использования клиентского Windows задача не выполнима?

Задача вполне выполнима. Неоднократно использовал это в работе начиная с Windows 2000.

[The_Immortal]

res2001,

1. сети за А и В имеют разные адреса подсетей? Какие?

Да, подсети разные. Сеть А: 192.168.1.0/24; Сеть B: 192.168.43.0/24.

2. из описания не ясны ВПН адреса А и В.

Вот этот вопрос не очень понимаю... VPN A: 172.16.3.37 (по этому IP устройство B имеет доступ к устройству A).

То же самое надо сделать и на устройстве А для сети устройства В.

Забыл про это указать. Обратный маршрут на устройстве A к сети B имеется:

192.168.43.0    255.255.255.0         On-link       172.16.3.37

Устройства сети B c устройства А пингуются:

>tracert 192.168.43.113

Трассировка маршрута к 192.168.43.113 с максимальным числом прыжков 30

  1    10 ms    10 ms    15 ms  keen.home [192.168.43.1]
  2    11 ms    10 ms    11 ms  192.168.43.113

Трассировка завершена.

Ну и для теста отключите фаервол на винде. Если заработает, включите и если будет что-то блокировать, то надо будет вручную добавить разрешающие правила.

Об этом писать не стал, но на Windows системный фаервол и так отключен, т.к. имеется Kaspersky. Но на последнем я отключил сетевой экран, так что по идее ничего мешать не должно.

[ValdikSS]

Т.е. локальный интерфейс Устройства А отвечает Устройству B, но Устройство B ответ этот почему-то не получает, хотя соответствующий маршрут на Устройстве А имеется.

Видимо, с ним что-то не так. На вашем скриншоте нет ICMP-запросов, но есть ICMP-ответы. Вы захватываете физический интерфейс (не VPN). Т.е. запрос приходит из VPN, а ваша ОС отвечает через физический интерфейс другому компьютеру (с MAC …18:50).

[res2001]

The_Immortal,

Вот этот вопрос не очень понимаю... VPN A: 172.16.3.37 (по этому IP устройство B имеет доступ к устройству A).

Для простоты можно рассматривать ВПН как еще один сетевой адаптер. Чтоб он нормально работал у него должен быть IP адрес. Т.к. такие ВПН адаптеры находятся на обоих узлах в сети ВПН, то и IP адреса должно быть как минимум 2 (если в ВПН сети только 2 устройства).
У вас же везде фигурирует только 1 адрес 172.16.3.37.
На винде посмотреть ВПН адрес можно с помощью ipconfig /all (ну или открыть окно status по ВПН подключению). Как посмотреть ВПН адрес на роутере не скажу, но там возможно адрес 172.16.3.1. Можете попинговать, например. Но лучше это где-выяснить в интерфейсе роутера или в ком.строке. В общем, на обоих узлах должен быть свой собственный ВПН адрес и эти адреса должны различаться.
Т.к. вы на обоих узлах ВПН прописываете один и тот же адрес маршрутизатора в маршруте, то на одном из узлов этот адрес будет не верным и маршрутизация работать нормально не будет.

[res2001]

The_Immortal, еще немного добавлю:

включил через реестр IpEnableRouter

Set-NetIPInterface -Forwarding Enabled

Это одно и то же. Только после правки реестра винду надо перезагрузить, а из поша перезагружать не требуется.
Кстати, возможно, второй вариант работает только до перезагрузки. Тут я не в курсе, надо проверять, все время делаю это через реестр.

включил службу "Маршрутизация и удаленный доступ":

Это лишнее. Маршуртизация работает без каких-либо дополнительных служб - это стандартный функционал TCP/IP стека даже в домашней винде.

[res2001]

The_Immortal, Еще небольшой лайфхачек.
Чтоб не добавлять статические маршруты в винде, их можно добавлять автоматически при подключении SSTP ВПН.
Делается это в powershell:

:: узнаем имя ВПН подключения
Get-VpnConnection
:: Добавляем маршруты для конкретного VPN соединения:
Add-VpnConnectionRoute -ConnectionName <vpn name> -DestinationPrefix <networ adress/mask> -PassThru

Маршрут указанный в Add-VpnConnectionRoute будет добавляться в таблицу маршрутизации всякий раз, когда подключаете ВПН. И удалятся из таблицы при отключении ВПН.

[The_Immortal]

ValdikSS, благодарю за наблюдение. Действительно ответ непонятно куда идет (на какое именно устройство) - а вот почему так, совершенно не ясно.

На вашем скриншоте нет ICMP-запросов, но есть ICMP-ответы. Вы захватываете физический интерфейс (не VPN)

Запросов нет, потому как они поступают в туннеле, который не отследить (я так думаю). А VPN захватить Wireshark не может (по тем же причинам).

res2001,

У вас же везде фигурирует только 1 адрес 172.16.3.37

1. У VPN-сервера нет внутреннего адреса. Есть только внешний, он же и является WAN-адресом роутера.
2. Оказывается, что маршруты клиенту выдаются VPN-сервером автоматически. Вот таблица маршрутов - слева маршруты на клиенте до подключения VPN, справа после подключения.
78.х.х.53 - это WAN Устройства B (Кинетика).
172.16.3.37 - SSTP-клиент.
192.168.43.0 - локальная сеть Устройства B (Кинетика).

Разве сервер может выдавать некорректные маршруты клиенту?

Это одно и то же.

Все-таки нет. До тех пор, пока я не выполнил команду:

Set-NetIPInterface -Forwarding Disabled
Set-NetIPInterface -ifIndex 33 -Forwarding Enabled

представленного выше захвата icmp не было.

А по тому захвату видно, что 192.168.1.10 (локальный адрес Устройства А) готов отвечать на 192.168.43.1, но почему-то по 192.168.43.1 какое-то не то устройство обнаруживается...

[res2001]

The_Immortal,

1. У VPN-сервера нет внутреннего адреса. Есть только внешний, он же и является WAN-адресом роутера.

Это не так. Если вы его нигде не назначаете руками - это еще не говорит о том, что его нет.
Кроме того сам по себе стек TCP/IP работает так, что ему требуется 2 адреса из одной подсети для обмена двух узлов. А ВПН сеть можно рассматривать как обычную сеть, там действуют абсолютно стандартные правила маршрутизации.
Конкретно с SSTP у меня опыт не большой, сервер никогда не конфигурировал. Как там назначается адрес сервера не знаю. Знаю как это работает например в OpenVPN.
Вот прям сейчас я работаю удаленно через клиента SSTP VPN в винде и в состоянии подключения на закладке Details могу увидеть адрес сервера и адрес клиента.

Но в принципе это не так важно. Если воспользуетесь лайвхаком (выше его описал) для автоматического добавления маршрутов, то правильный адрес шлюза будет добавляться автоматически. Ну или можно полагаться на автоматическую выдачу маршутов сервером.

представленного выше захвата icmp не было.

Я уже лет 20 как разрешаю маршуртизацию в винде только добавлением в реестр параметра IPEnableRouter=1 с последующей перезагрузкой и всегда этого хватало. Причем это работает и с физическими адаптерами и с виртуальными и ВПН. Если у вас это не работало почему то, возможно это из-за каких-то ваших прошлых манипуляций.

[The_Immortal]

res2001,

Вот прям сейчас я работаю удаленно через клиента SSTP VPN в винде и в состоянии подключения на закладке Details могу увидеть адрес сервера и адрес клиента.

Да, Вы правы - так сервер видно: это локальный адрес Устройства B (192.168.43.1).

Если воспользуетесь лайвхаком (выше его описал) для автоматического добавления маршрутов, то правильный адрес шлюза будет добавляться автоматически

Выполнил:

PS C:\WINDOWS\system32> Add-VpnConnectionRoute -ConnectionName home -DestinationPrefix 192.168.43.0/24 -PassThru


DestinationPrefix : 192.168.43.0/24
InterfaceIndex    :
InterfaceAlias    : home
AddressFamily     : IPv4
NextHop           : 0.0.0.0
Publish           : 0
RouteMetric       : 1
PolicyStore       :

Таблица маршрутизации после переключения VPN не изменилась. Проблема осталась :(

Если у вас это не работало почему то, возможно это из-за каких-то ваших прошлых манипуляций.

Все свои манипуляции я описал в изначальном вопросе.

Может для задачи все-таки нужно что-то типа виртуального маршрутизатора или не обязательно все же?

[res2001]

The_Immortal,

Да, Вы правы - так сервер видно: это локальный адрес Устройства B (192.168.43.1).

Странно. Ожидал увидеть адрес сервера в той же подсети, что и клиент. По крайней мере у меня так.
Может на роутере можно что-то докрутить, чтоб себе выдавал адрес из ВПН сети.
Возможно из-за этого происходит то, что вы увидели в wiresharkе и о чем писал ValdikSS
Почему то винда маршрутизирует ответ на шлюз по умолчанию, а не на шлюз из таблицы маршрутизации.

Может для задачи все-таки нужно что-то типа виртуального маршрутизатора или не обязательно все же?

Не требуется. Это должно работать.

[karvadimru]

Добрый день.
Выглядит так, будто настроили вы все верно. Проверьте ещё раз фаервол, каспер и прочее прикладное ПО (например всякие випнеты и прочее, использующее удалённое подключение к сервисам. Убедитесь, что в настройках сетевого интерфейса нет "лишних" драйверов сетевой защиты и т.д.).
Касательно устройств из сети устройства А, не очень очевидно из приложенных вами скринов - является ли устройство А шлюзом по умолчанию для сети и если нет, необходимо дополнительно на этом шлюзе добавить маршрут к 43.0 через 1.10.

[karvadimru]

И касательно форвардинга для одного интерфейса, вы уверены что этого достаточно? Если честно, нет возможности сейчас проверить, но кажется логичным, что он должен быть включён ещё и на 1.10. Проблема сохраняется, если его включить ещё и там?

[The_Immortal]

res2001, поменял VPN-коннект на WireGuard (там клиент и сервер в рамках одной подсети) и все завелось!
Единственное, в моем случае, IPEnableRouter=1 все-таки не было достаточно и помогли вот эти команды:

Set-NetIPInterface -ifIndex 33 -Forwarding Enabled // форвардинг для VPN'а
Set-NetIPInterface -ifIndex 9 -Forwarding Enabled // форвардинг для физического интерфейса локальной сети

[The_Immortal]

karvadimru, действительно форвардинг нужен был и для локального интерфейса. Но в случае с SSTP это не сработало, а вот с WG - все нормально.
Ну или в целом для всех интерфейсов (их у меня два - ЛС и VPN) достаточно было включить
Set-NetIPInterface -Forwarding Enabled
Правда, выше было сказано, что вышеуказанная команда и правка IpEnableRouter это одно и то же, но конкретно на моей Win 10 почему-то IpEnableRouter было недостаточно.

[The_Immortal]

karvadimru, Усттройство А (192.168.1.10) - шлюзом не является. По определенным целям я не могу делать VPN-коннект на самом шлюзе (192.168.1.1). Поэтому на шлюзе я как раз-таки прописал маршрут через 1.10 к VPN'овской подсети, которая в свою очередь уже маршрутизирует в локальную сеть Устройства B.

Answer 1

[qrKot]

вроде как (могу ошибаться), при выключенном брендмауэре (который "системный файервол") все эти шаманства не работают (форвардинг через брендмауэр реализован)
Винда - говно, жизнь - боль

Answer 2

[Vilos]

Поставь Debian и не ломай башку ни себе ни людям.

Answer 3

[bairam]

"системный фаервол отключен", как отключён? Если остановлена служба, то работать не будет.