Как настроить vpn?

Question

[alex_ak1]

Хочу купить и поставить впн-сервер (к примеру длинк 804 или аналогичный) и поставить себе в сеть, но я не хочу делать его основным шлюзом, который будет пропукать весь трафик через себя.
Как его правильно подключить к моему оборудованию так, чтобы клиенты снаружи подключались (через проброшенный порт, само собой) и оказывались в пределах роутинга этого роутера.
Насколько я понимаю, надо на основном роутере прописать маршрут 10.10.0.0/16 (все мои впн-клиенты) на этот vpn-сервер и в сервере вписать, что 10.10.1.0/24 это офис1, 10.10.123.0/24 это офис123.
Меня в этой схеме смущает, что будет два паралельных провода от впн до моего основного свича (подключение wan и lan для vpn-сервера).
Или я вообще все неправильно понимаю и неправльно делаю?

Вот примерно такая схема. Темно-зеленая жирная линия это соединение vpn, светло-зеленая - как это будет видеть компьютер (тонкая зеленая - это данные внутри канала).


PS: И сразу другой вопрос - в состав серверной винды входит вроде как-то мастер по созданию клиентских подключений к впну. Никак не могу вспомнить, как он называется. Подскажите пожалуйста.

Comments

[vreitech]

два роутера, свитч неизвестных моделей, два офиса, впн-клиенты... нарисовали бы вы схему, хотя бы для себя.
меня тоже смущают два параллельных провода, хотя и бывают случаи, когда им есть оправдание.

[alex_ak1]

vreitech, Нарисовал.

Два паралельных провода это потому что впн принимает соединения снаружи на wan, а отдает трафик в lan (во всяком случае, как я это понимаю).

[vreitech]

два провода лишние. при схеме с двумя проводами каждый из этих линков придётся размещать в отдельный vlan только лишь потому, что иначе вы получите петлю.
проще воткнуть линк от основного роутера в vpn-роутер в один из не-wan-разъёмов.

[alex_ak1]

vreitech, с чего будет петля? Это будут разные ип-адреса, нат я включать на нем не буду (если такое возможно). Просто два интерфейса и все.
Я не уверен, что с lan роутер будет слушать впн-соединения.

[Анатолий]

alex_ak1, а причем тут разные ip-адреса? петля будет еще на канальном уровне, ну если не используется stp, lacp ,..

если у вас два аплинка (провайдера), то так тоже не покатит!

[alex_ak1]

Анатолий, Обычно у lan и wan разьемов разные маки?

[vreitech]

alex_ak1, ip может и разные, зато широковещательный домен один.
если vpn-маршрутизатор не слушает vpn-соединения на каких-то портах - в топку такой маршрутизатор, это стандартный функционал.

[alex_ak1]

vreitech, Спасибо за мысли. Буду пробовать.

[Анатолий]

alex_ak1, схема говно )
не понятно, что куда идет, где WAN, а где LAN
даже не ясно число аплинков
из железа, надо брать хотя бы mikrotik или лучше, но не как не soho решения

[alex_ak1]

Анатолий, Пусть левый провод из двух lan, а правый wan. Или наоборот - разницы в данной схеме я не вижу.
Чем микротик лучше, чем длинк впн или еще какое аналогичная железяка?

[Анатолий]

alex_ak1, обычно в ван порт приходит аплинк, из интернета. Но по схеме не понятно какую роль играет нижний роутер, также к тому к нему идут 2 стрелки зеленая и салатовая, что тоже не вносит ясности. Нарисованная схема для меня черный квадрат.

Чем сохо роутер отличается от микротика? А чем комбайн отличается от молотка? Если комбайном гвозди заколачивать, так наверно ничем, еще и сложность повышается.

[alex_ak1]

Анатолий, Нижний роутер этот тот впн (длинк, микротик, супер-пупер сиська), который я хочу поставить, но я не хочу, чтобы он мне рулил основным трафиком.

Вот поэтому я хочу недорогой простой длинк (или аналог), а не супер-пупер комбайн от микротика или там сиськи.

[Анатолий]

Я бы просто взял микротик и заменил им router1.

"я не хочу делать его основным шлюзом, который будет пропукать весь трафик через себя"
эту фразу я тоже не понимаю, в том же микротике можно настроить различные маршруты, несколько аплинков, vpn-серверов и всего чего хочешь.

Что как Вы планируете добиться по своей схеме я не понимаю, поэтому ничем помочь не могу. Могу только пожелать удачи! )