Можно ли по vpn-туннелю ходить в обратную сторону?

Question

[Ивор Барханский]

Сабж. Есть сервер, к которому клиент подключается по VPN и работает, скажем, в 1С. Можно ли настроить всё так, чтобы с сервера можно было сходить на машину клиента и поработать на ней, используя подключение которое уже есть?

Вопросы скрытного проникновения не рассматриваются. Т.е. клиент по умолчанию в курсе, что к нему хотят зайти на машину и согласен на это.

Answer 1

[Дмитрий Филимонов]

Если есть тоннель, то это значит, либо L2, либо L3 канал уже есть, в обоих случаях имеется IP-адрес с двух сторон. Поэтому вы уже ходите в обе стороны. Дальнейшая настройка зависит от того, что хотите делать. В типичном случае: настроить фаерволл, чтобы он разрешал доступ до нужного ПО/порта, поднять это самое ПО. Поэтому не просто можно, а из коробки можно.

Comments

[Ивор Барханский]

Странно. Значит мы что-то нахомутали с самой коробкой или с фаерволлами. А то после нескольких дней поисков мы уже были готовы признать, что туннель — односторонний.
Будем копать дальше, спасибо...

[Дмитрий Филимонов]

Игорь Б: возможно, у вас там несколько сетей/интересный роутинг, поэтому получаете странное поведение. Или фаерволл на клиенте все режет. Но если взять именно VPN-тоннель в отрыве, то он всегда двусторонний.

Приведу пример, когда тоннель может выглядеть односторонним. Например, может быть такое, что вы устанавливаете тоннель до сервера, это одна сеть. Там дальше на сервере происходит, допустим, NAT в иную сеть. В итоге с тоннеля вы видите удаленный узел через NAT, но наоборот нет. Тоннель сам при этом все равно двусторонний, просто фишка роутинга. Таких вариантов может быть много. Изучите вашу топологию, посмотрите трейсы, посмотрите настройки VPN-клиента (точно вы к серверу обращаетесь или же у вас клиент-клиент обращение, видимость в котором зависит от настроек vpn-сервера).

[Ивор Барханский]

Дмитрий Филимонов: у нас тут доставшаяся по наследству настолько запутанная сеть с такими невероятными коленцами, что мы всерьёз рассматриваем вариант «невозможно привести в божеский вид». Значит просто что-то еще не нашли. ;(

[Дмитрий Филимонов]

Игорь Б: в общем, начните дебажить все по порядку. Сначала сам тоннель до сервера, доступность клиентов в обе стороны. Тут вскроются проблемы с фаерволлом, если есть. Потом трейсить/смотреть таблицы роутинга/фаерволлы дальше до нужного вам узла. Если накидаете в комменты трейсов, описания узлов/сетей, что за тоннель (openvpn, pppoe, pptp и т.п.), то может кто-то вам и подскажет что.

Может быть, вы видите друг друга во все стороны на уровне ip/icmp, и проблемы в роутинге нет вообще, но какой-то фаерволл по пути обрезает нужный tcp-трафик (или что там у вас). Без знаний топологии можно только тыкать пальцем, вариантов такого поведения много.

Answer 2

[altra]

"Ходить" можно. Как Дмитрий Филимонов указал, что IP для двух сторон известны, они находят либо в одной подсети, либо между ними настраивается роутинг. В данном случает клиент есть инициатор соединения. Без его ведома сервер не может к нему обратиться, соответственно, тут уже надо обращаться к межсетевому экрану (firewall) клиента. Вероятно, там запрещены установления новых соединений с адресов, отличных от localhost. Таким образом, все сводится к добавлению правил в МСЭ для установления новых соединений со стороны сервера на определенные порты (например, 80 или 22) внутри VPN-туннеля.