(Керио) Как увидеть LAN компьютер через VPN подключение?

Question

[KTG]

Установлен сервер с Kerio Control
3 интерфейса: Lan, Internet, VPN

Он раздаёт IP адреса: для Lan клиентов: 10.10.0.1 255.255.255.0
И для VPN клиентов: 10.15.0.1 255.255.255.0
10.15.0.1 и 10.10.0.1 - это Керио.

В Lan был ПК с IP: 10.10.0.15, его перенесли в другое место и подключили через VPN.
Он получил IP: 10.15.0.20

В правилах трафика указал: что при обращении с сети 10.15.0.1 255.255.255.0 на адрес 10.10.0.15 идёт трансляция (MAP) на 10.15.0.20.
В итоге VPN клиенты понимают куда стучаться.
Прописываю правило:
с сети 10.10.0.1 255.255.255.0 на адрес 10.10.0.15 идёт трансляция (MAP) на 10.15.0.20.

Но вот загвоздка, никто кроме Керио из LAN клиентов не знает о 10.15.0.20
Да и собственно все компы из любой подсети не видят компы в другой подсети.

Как настроить видимость?

UPD:
Работает только если и на Керио есть правила, и если на машине в LAN прописать route.
Если одного из двух нет: пинги не идут.
Вопрос: чего не хватает, что бы не бегать до каждой машины и не прописывать route?

Answer 1

[АртемЪ]

Не совсем понятно.
Давайте определимся с терминами-

• Есть маршрутизация - она определяет куда какому пакету идти, и через какой интерфейс. Именно от нее зависит будет ли доступен IP адрес компьютера по сети, возможен ли между хостами обмен трафиком.
  
• Есть трансляция (маппинг) портов - правило файервола которое пересылает пакет пришедший на определенный порт хоста, на IP адрес другого хоста в сети. Для перенаправления разумеется хост на который мы перенаправляем пакет должен быть доступен - либо он находится в том же широковещательном домене, либо до него есть маршрут.
  
  

А у вас получается какая то путаница. Создается впечатление что вы путаете роутинг и маппинг.

А вообще - сначала делаете роутинг, этим вы обеспечиваете связь между нужными хостами, чтобы между ними корректно ходили пакеты.
И только после этого можно настраивать маппинг.

чего не хватает, что бы не бегать до каждой машины и не прописывать route?

Тут все просто.
Трафик с каждой машины идет так -

1. Если целевой хост находится в том же широковещательном домене, то трафик идет прямо туда.
   
2. Если на машине явно прописан маршрут до целевого хоста - трафик идет по маршруту.
   
3. Во всех остальных случаях трафик идет на default gateway и именно шлюз по умолчанию будет разбираться куда его перенаправить.
   

Поэтому если не хотите делать маршруты на каждой машине, значит надо настроить их на шлюзе.

Comments

[KTG]

ну вот по всей видимости маппинг у меня настроен.

Т.к. если я на локальной машине прописываю route и указываю в качестве шлюза сервер Керио но с адресом другой подсети - то всё работает.

Получается мне надо настроить роутинг на Керио. Что бы две подсети видели друг друга

[АртемЪ]

Получается мне надо настроить роутинг на Керио. Что бы две подсети видели друг друга

Да.
Маппинг не будет работать если вы пытаетесь мапить на недоступныый по сети хост.

[KTG]

При этих настройках работает только если на локальной машине в LAN прописать route и указать шлюз 10.15.0.1

[KTG]

Если целевой хост находится в том же широковещательном домене, то трафик идет прямо туда.

Ну вот и проблема, что непонятно как сделать, что бы локальная машина все таки стучалась в шлюз, а не отправляла на прямую.

[АртемЪ]

KTG, Локальная машина всегда будет отправлять трафик в шлюз, если адрес получателя не находится в ее широковещательном домене.
А если находится - она никогда не будет отправлять трафик в шлюз.

[KTG]

Сменил подсеть у LAN на 10.10.1.1 Полностью и диапазон раздачи ДШСП. 10.10.0.15 остался за бортом. Теперь его ищут через шлюз.
Спасибо за разъяснения.