Как настроить VPN в данном случае (протокол PPTP)?

Question

[ssman]

Доброго времени суток!

Имеется роутер 1 ASUS RT-N16 с последней официальной прошивкой на борту, на котором запущен встроенный PPTP-сервер. Интернет на него заводится через WAN, Automatic IP. В другой точке города имеется также роутер 2 другого производителя, на котором в свою очередь запущен PPTP-клиент, который через интернет успешно подключается к роутеру 1. В интерфейсе роутера 1 я вижу состояние подключения - подключено, а также VPN IP и Remote IP клиента.

За роутером 1 находятся машины, которым требуется доступ буквально по нескольким портам к одной машине, которая находится за роутером 2. Также планируется добавить клиенты (машины на Windows, соединение по PPTP стандартными средствами Windows), которые тоже будут подключаться к PPTP-серверу, и им должна быть видна машина за роутером 2 и машины за роутером 1, но это в будущем.

В данный момент проблема заключается в том, что машины за роутером 1 не видят машину за роутером 2, или хотябы сам этот роутер. Ни пинг не проходит, ни попытка подсоединиться через порт 80. Но если сделать пинг через веб-интерфейс роутера 1 по VPN IP роутера 2, то пинг проходит без каких либо проблем, связь есть. Возможно, требуется прописать какие-то маршруты на роутере или на машине за роутером 1? Если это так, то подскажите пожалуйста, какие они должны быть для этого случая.

По части сетевых настроек

Роутер 1:
192.168.1.1
маска 255.255.255.0
DHCP-сервер выдает IP от 100 до 254, остальные назначаются вручную
При подключении клиента к данному PPTP-серверу выдается IP из пула адресов, например 192.168.10.2 (этот IP который выдается кажется можно сделать постоянным, указав IP и маску подсети для данного логина/пароля клиента)

Роутер 2:
192.168.150.1
маска 255.255.255.0
DHCP-сервер выдает IP от 100 до 120, остальные назначаются вручную
Адрес машины, до которой нужно достучаться - 192.168.150.2

Топология сети (роутер 1 и 2 - то, что есть уже сейчас, роутер 3 и 4 планируются в будущем):

На всякий случай скриншоты интерфейса и конфигурации роутера 1:

UPD:
Я вижу с роутера 1 (пинг через веб-интерфейс) при одном из вариантов маршрутов прикрепленных ниже и роутер 2, и устройство которое прячется за роутером 2, т.е. схема рабочая, цель достигнута. Проблема в том, что с компьютера подключенного кабелем к роутеру 1 я уже не вижу ни то, ни то, и это очень странно. На данном компьютере маршруты проверил, нет ли мешающих, отключил файервол, антивирус, лишнее сетевое подключение, трассировка прикреплена ниже. Подскажите пожалуйста, может для этого нужно добавить какой то дополнительный маршрут на роутере 1?

Рабочий маршрут на роутере 1:

Трассировка с компьютера подкл. к роутеру 1 кабелем (192.168.150.2 - устройство за роутером 2)

Answer 1

[Dimonchik]

хорошо бы начать отсюда

судя по интерфейсам, можно все маршруты прописать как требуется

Comments

[ssman]

Топологию сети добавил в вопрос, надеюсь так более наглядно будет. Нужно ли что то еще указать на ней?

[Dimonchik]

правая часть лишняя
не перегружайте

такс, теперь попонятнее: нужно прописать гейтвеи:

на роутер 2 - все для 162,168,1,* - отправлять на роутер 1 - WAN роутера 1
ну и на 1м - все для *,*,150,* - на роутер два - WAN роутера 2

попробуйте прописать и добиться пингов 192,168,*,1 друг с друга

P.S. в реализуемости не уверен - достаточно хорошо работает с VPN раздающим частные адреса и левому и правому, а вот с таким хз - но давайте поковыряемся

[ssman]

ну и на 1м - все для *,*,150,* - на роутер два - WAN роутера 2

Пробовал прописать данный маршрут в разных вариантах (единственный момент не оч. понял - WAN роутера 2 как обозначить, если у роутера 2 динамич. IP)

IP-адрес сети или хоста      Сетевая маска        Шлюз       Метрика      Интерфейс
192.168.150.2                    255.255.255.255      0.0.0.0             1                 WAN
- добавился успешно в таблицу маршрутизации, это я вижу запрашивая данную таблицу

IP-адрес сети или хоста      Сетевая маска        Шлюз       Метрика      Интерфейс
192.168.150.1                    255.255.255.0          0.0.0.0             1                 WAN
- не добавляется в таблицу маршрутизации, это я вижу запрашивая данную таблицу

IP-адрес сети или хоста      Сетевая маска        Шлюз       Метрика      Интерфейс
192.168.150.2                    255.255.255.255    192.168.10.2             1                 WAN
- не добавляется в таблицу маршрутизации, это я вижу запрашивая данную таблицу

IP-адрес сети или хоста      Сетевая маска        Шлюз       Метрика      Интерфейс
192.168.150.1                    255.255.255.0    192.168.10.2             1                 WAN
- не добавляется в таблицу маршрутизации, это я вижу запрашивая данную таблицу

К сожалению ни один из вариантов не позволил с компьютера подсоединенного к роутеру 1 пропинговать ни 192.168.150.2, ни 192.168.10.2 (это VPN IP присвоенный роутеру 2 при подключении к роутеру 1). С роутера 1 по прежнему пингуется 192.168.10.2, а 150.2 - нет.

Но есть и некоторый прогресс - удалось пропинговать устройство, находящееся за роутером 2 (IP 192.168.150.2), но пинговал с роутера 1. С компа у роутера 1 не пингуется к сожалению. Это удалось добиться тем что нашел где в веб-интерфейсе добавить вот такой маршрут:



Получается, что маршруты на скрине выше - пока что самый удачный вариант. Но не могу понять, какой маршрут надо добавить, чтобы с компа у роутера 1 можно было хотябы пропинговать 192.168.150.2. Я возможно скажу не правильно т.к. слабо в этом разбираюсь - но такое ощущение, что при пинге IP 150.2 с компа, надо как то перенаправить пакеты с интерфейса eth0 роутера 1 (и eth1 тоже, на будущее) на ppp10. Но не понятно как, и какой шлюз ставить (ведь у роутера 2 динамический IP). То есть вобщем резюме данной ситуации - с роутера 1 я вижу устройство 150.2, а также VPN IP роутера 2 192.168.10.2, а с компа подсоединенного к этому роутеру - всего этого не видно.

[AkaZLOY]

ssman,

(единственный момент не оч. понял - WAN роутера 2 как обозначить, если у роутера 2 динамич. IP)

В качестве шлюза вы должны указывать адреса pptp интерфейсов.

[ssman]

AkaZLOY, пробовал данный вариант, почему то не добавляется маршрут. В веб интерфейсе маршрут появляется, ошибок при добавлении не возникает, но когда я запрашиваю через другую страницу текущую таблицу маршрутов - новый маршрут в ней не появляется. 192.168.10.2 - адрес pptp интерфейса для роутера 2 (он выдается из пула и не постоянен, но допустим он постоянен..) Цитирую варианты которые не подошли:

IP-адрес сети или хоста      Сетевая маска        Шлюз       Метрика      Интерфейс
192.168.150.2                    255.255.255.255    192.168.10.2             1                 WAN
- не добавляется в таблицу маршрутизации, это я вижу запрашивая данную таблицу

IP-адрес сети или хоста      Сетевая маска        Шлюз       Метрика      Интерфейс
192.168.150.1                    255.255.255.0    192.168.10.2             1                 WAN
- не добавляется в таблицу маршрутизации, это я вижу запрашивая данную таблицу

Answer 2

[AkaZLOY]

Познакомтесь с азами маршрутизации и пропишите маршруты на обоих роутерах

Comments

[ssman]

А вы можете посоветовать какую то статью, но написанную не предельно точным и непонятным для не ITшника языком, а более упрощенную? Или по крайней мере по каким словам лучше загуглить.

PS А есть ли необходимость прописывать на данном этапе маршруты на обоих роутерах? Честно говоря боюсь щас наворотить дел, если еще и на роутере 2 буду что то прописывать. Ведь я вижу с роутера 1 (пинг через веб-интерфейс) при одном из вариантов маршрутов описанных выше и роутер 2, и устройство которое прячется за роутером 2, т.е. схема рабочая и она работает. Проблема в том, что с компьютера подключенного кабелем к роутеру 1 я уже не вижу ни то ни то, и это очень странно.

"Рабочий" маршрут прикрепляю сюда:

[AkaZLOY]

ssman, доступнее некуда: https://habr.com/ru/post/140552/

Если вы боитесь всё сломать, почему бы не обратиться к специалисту который вам всё настроит?

По поводу пингов, нет ничего удивительного, что вы можете пинговать pptp интерфейсы, т.к. они считаются direct connect по отношению друг к другу. И нет ничего удивительного, что вы не можете пинговать хосты за этими двумя роутерами, т.к. из-за отсутствия маршрутов роутеры просто незнают об этих хостах.

Немного вас наведу на мысль, что вам надо сделать. Ваш pptp сервер на роутере1 это как локальная сеть, у этого сервера есть свой локальный адрес и интерфейс, которому задаётся ip адрес (например 10.0.0.1). У вас есть pptp клиенты, они подключаются к pptp серверу и либо получают адрес от pptp сервера, либо вы задаёте их вручную. Например роутер2 pptp клиент, успешно подключенный к серверу, его pptp интерфейс имеет ip 10.0.0.2. Обои интерфейсы считаются подключенными напрямую, им не нужны маршруты, поэтому вы можете пинговать с роутера1 - 10.0.0.2 и с роутера2 - 10.0.0.1.
Однако роутеру1 не известно, что находится за pptp интерфейсом роутера2, так же как и роутер2 незнает ничего о роутере1, кроме как 10.0.0.1.
Для этого вы и пишете маршруты, вы должны прописать статические маршруты. Укажите роутеру1, что сеть 192.168.150.0 по маске 255.255.255.0 находится за pptp интерфейсом роутера2 - 10.0.0.2. По аналогии нужно указать роутеру2, что сеть 192.168.1.0 255.255.255.0 находится за pptp интерфейсом роутера 1 - 10.0.0.1, чтобы вам мог прийти ответ.

Как правильно написать маршруты на роутерах Asus, я вам не подскажу, так как никогда не видел их интерфейсы, я больше по Mikrotik и Cisco. Но общую концепцию описал выше. Погуглите руководство по эксплуатации вашего роутера на сайте Asus, найдите там, как добавить статический маршрут.

[ssman]

AkaZLOY,
Спасибо за развернутое объяснение, я понял принцип.

И нет ничего удивительного, что вы не можете пинговать хосты за этими двумя роутерами, т.к. из-за отсутствия маршрутов роутеры просто незнают об этих хостах.

Возможно я несколько скомканно рассказал. С роутера 1 через веб-интерфейс я могу пинговать хост, который находится за роутером 2 благодаря (как я выяснил) маршруту который подчеркнут красным на скриншоте ниже (этот хост 192.168.150.2). Этот маршрут прописывается мной вручную, но я в нем могу указать только IP хоста и маску подсети, причем маску подсети он почему то не принимает 255.255.255.0, только 255.255.255.255 (но мне это подходит пока что).

Для этого вы и пишете маршруты, вы должны прописать статические маршруты. Укажите роутеру1, что сеть 192.168.150.0 по маске 255.255.255.0 находится за pptp интерфейсом роутера2 - 10.0.0.2. По аналогии нужно указать роутеру2, что сеть 192.168.1.0 255.255.255.0 находится за pptp интерфейсом роутера 1 - 10.0.0.1, чтобы вам мог прийти ответ.

Подобный маршрут (10.0.0.2 заменил на актуальный адрес ВПН интерфейса роутера 2) на роутере 1 почему то не проходит. После добавления он появляется в веб-интерфейсе, но запрашивая весь список имеющихся маршрутов через другую веб-страницу роутера, я его не нахожу. Даже через время он не появляется. После этого я перезагружаю роутер по питанию, и он всё равно не появляется.
Из того что я пробовал и экспериментировал, проходит данный маршрут, но от него нет эффекта:

IP-адрес сети или хоста      Сетевая маска        Шлюз       Метрика      Интерфейс
192.168.150.2                    255.255.255.255      0.0.0.0             1                 WAN