Проблема с L2TP и роутерами. Как настроить UPnP под мою задачу?

Question

[Дмитрий Максименко]

Добрый день!

Делаю DC++ клиент для локальной сети на основе FlyLinkDC
Каждый день общаюсь с разработчиком и он не знает как мне помочь.

Суть такая, что сеть еще не перевели на IPOE подключения и абоненты работают по старине через L2TP vpn подключение.
Соответственно на роутерах это выглядит таким образом, что сначала есть простое подключение с DHCP получением настроек (назовем его "ISP") и поверх него устанавливается vpn подключение (назовем его "L2TP0") в котором указывается логин и пароль для выхода в интернет.

Интерфейс ISP имеет адрес из подсети с /24 маской, которая входит уже в большую подсеть 10.0.0.0/9
(Например у меня дома 10.30.102.18)

То-есть роутер имеет уже 2 ip интерфейса для выхода в сеть.
По DHCP приходят маршруты для определенных сетей, которые должны ходить по интерфейсу ISP.
В их числе маршрут до сети 10.0.0.0/9 через шлюз, который является шлюзом на ISP интерфейсе (в моем случае 10.30.102.1)

На интерфейс L2TP0 назначается айпишник из другой серой сети (в моем случае ip 172.16.149.218) который дальше уже NAT'ится и идет в интернет.

На некоторых роутерах, такой режим работы называется "Double Acces/Russian L2TP"

А теперь проблема:
DC++ клиент (да и вообще любое приложение будь то uTorrent или что либо другое используещее протокол UPnP) по протоколу UPnP делает перенаправление портов только на интерфейсе L2TP0 не затрагивая интерфейс ISP.

И вот сейчас ломаю голову, реально ли вообще по UPnP заставить роутер делать перенаправление портов на всех интерфейсах.

Для примера приведу логи с роутера Zyxel:

Oct 08 16:50:43ndmUPnP::Manager: redirect rule added: tcp L2TP0:3000 -> 192.168.1.33:3000.
Oct 08 16:50:43ndmUPnP::Manager: forward rule added: tcp L2TP0 -> 192.168.1.33:3000.
Oct 08 16:50:43ndmUPnP::Manager: redirect rule added: udp L2TP0:3000 -> 192.168.1.33:3000.
Oct 08 16:50:43ndmUPnP::Manager: forward rule added: udp L2TP0 -> 192.168.1.33:3000.

Для общего понимания прикрепляю скриншот настроек роутера, которых мне нужно добиться (на скриншоте настройки которые я вбил вручную)


То-есть видно, что я сделал правила для ISP и L2TP0 интерфейсов, а UPnP делает только для L2TP0.

Варианты типа "напишите инструкции для абонентов как проброить порты" не годится...

Answer 1

[Дмитрий Максименко]

В итоге:
на популярных роутерах типа Dlink и TPlink, где есть отдельный тип соединения "Dynamic IP + L2TP (Russian L2TP)" это выглядит для uPNP как один ip интерфейс.
Соответственно масштаб проблемы оказался меньше чем я думал.

Так и быть, для зюкселей и других не популярных вендоров напишу инструкцию...

Answer 2

[Валентин]

Сумбурно. Почему нельзя использовать только один маршрут по умолчанию через l2tp, а всю связность через Ethernet дальше шлюза закрыть на брасе?

Comments

[Дмитрий Максименко]

Главный администратор сети не сделает так. "Локальная сеть" должна идти в обход L2TP
я так понимаю банально что-бы bras не слег от нагрузки

Answer 3

[Евгений Куницын]

Есть пара вопросов. В подсети 10.0.0.0/9 хаб есть вообще? Или он внешний? Посмотрите при ручном создании правил и без них, у вас есть вообще пиры из этой подсети? А то может потому и не создаются правила, что не за чем они, не на кого пробрасывать порт.

Comments

[Дмитрий Максименко]

хаб находится по адресу 109.110.38.30, по dhcp есть маршрут на сеть 109.110.38.0/24 в обход l2tp соединения. Но это не имеет значения.
Пиры из 10.0.0.0/9 подсети конечно есть, у нас почти все абоненты в этой сети и находятся :)

[Евгений Куницын]

Как вам уже выше ответили, роутер пробрасывает только туда, где шлюз по умолчанию. Плюс, читая это zyxel.ru/kb/2302 видим "Так, запуск на компьютере программы, которая принимает входящие подключения, часто вызывает автоматическое создание нужных разрешающих правил в Keenetic с помощью UPnP." Тоесть программа сама запрашивает у роутера открыть порт. А в вашем скрине видно, что программа автоматом запрашивает проброс по адресу 172.16.*.* вот и все.