Как обеспечить доступ клиентов L2TP VPN сервера, которому подключен маршрутизатор, к сети за маршрутизатором?

Question

[Арам Пахчанян]

Задача самая стандартная: сделать удобный доступ к домашней сети, которая подключена в Интернет через мобильного оператора. Надо смотреть в камеры видеонаблюдения, иногда достать какой-нибудь файл, и т.д. Задачи иметь "белый адрес" для доступа в интернет пока нет.

Что у меня есть:
1. VPS на Ubuntu 18.
2. Маршрутизатор Mikrotik с поддержкой 4G модемов (hAP AC lite), все подключено, интернет есть, через NAT, естественно. Внутренняя сеть 192.168.1.0/24, адрес маршрутизатора 192.168.1.1.

Что я уже сделал:

1. Поставил на VPS IPSEC/L2TP сервер с шифрованием. Для этого использовал готовый скрипт, который отлично отработал. Сервер создает адресный пул 192.168.42.x для клиентов VPS (начиная с .100), адрес сервера в каждом point-to-point соединении - 192.168.42.1.

2. Настроил на Microtik подключение к этому серверу. Все подключилось, все работает.

3. На Microtik создал через IP>Routes маршрут на сеть 192.168.42/24, указав в качестве Gateway ppp соединение к VPN.

4. На Ubuntu после подключения добавляю ручками маршрут:
ip route add 192.168.1.0/24 via 192.168.42.1

После этого ситуация такая:

- сам сервер видит и маршутизатор, и компьютеры за ним. Из консоли сервера все устройства пингуются, ко всем удается подключиться.

- Другим компьютерам, подключенным к тому же серверу через VPN, из устройств виден только маршрутизатор по адресу 192.168.42.100. Все остальные компьютеры внутри сети недоступны.

- Я пытался прописать маршрут на сеть 192.168.1.x на компьютере, подключенном через VPN к серверу, не помогает (ip route add 192.168.1.0/24 via 192.168.42.1). Замена адреса гейтвея на другой конец моего соединения (192.168.42.102) тоже не спасла ситуацию. traceroute останавливается на 192.168.41.1 и дальше не идет.

Изнутри сети адрес 192.168.42.100 пингуется, но остальные подключенные к VPN устройства не видны. Есть подозрение, что надо добавить какие-то правила в iptables на сервере, но я пока не понял, как.

Что можно попробовать сделать, чтобы все заработало?

Comments

[rionnagel]

схема!!

[Арам Пахчанян]

rionnagel, прикладываю схему, не знаю, насколько на очевидная, но готов отвечать на вопросы, если возникнут.

Answer 1

[ru6ak]

Если я правильно всё понял. Вы не правильно пишете маршрут в убунте.
192.168.42.1 это адрес сервера впн он нечего не знает про сеть за микротиком
Вам на убунте надо прописать шлюзом адрес микротика для сети 192,168,1.0 а не адрес сервере VPN
ip route add 192.168.1.0/24 via адресс микротика.

По поводу IPtables или ufw попробуйте их выключить (не знаю что именно у вас используется)

Также неплохо бы узнать что делает скрипт (мне в лом честно говоря), вполне возможно он специально ограничивает сеть для клиентов, тогда надо править скрипт.

Иногда лучше самому поднять сервис, чем доверять скрипту, функционал которого не ясен.
Тем более поднять VPN не так уже сложно, обычно это пару конфигов настроить.

Comments

[Арам Пахчанян]

Спасибо, попробовал вот так:
ip route 192.168.1.0/24 via 192.168.1.1
выдает ошибку:
Error: Nexthop has invalid gateway.

[ru6ak]

Арам Пахчанян, Не правильно, нужно на адрес который микротик получает в VPN (192.168.41.xxx)

[Арам Пахчанян]

ru6ak, спасибо, да, я это тоже пробовал:

ip route add 192.168.1.0/24 via 192.168.1.100

Ситуация от этого не меняется. Но я не упомянул один факт: с консоли микротика устройства в сети 192.168.42.x пингуются. То есть, возможно, проблема именно на стороне роутера. Хорошо бы понять, какие шаги можно предпринять, чтобы проверить эту гипотезу.

Answer 2

[Арам Пахчанян]

В общем, проблема была в запутанных правилах iptables. Удалил, написал ручками простые правила и все заработало.