Как сделать доступ к подсетям филиалов через VPN?

Question

[Nikita]

Сначала расскажу как всё устроено.

Есть подсеть центрального офиса 172.16.34.0/24, и есть подсети филиалов — 192.168.200.0/24 (Филиал 1) и 192.168.244.0/24 (Филиал 2). Филиальные Микротики подсоединяются к центральному Микротику через L2TP. У центрального Микротика адрес 172.16.34.1, а у филиальных 192.168.200.1 и 192.168.244.1 соответственно.

На центральном Микротике поднят PPTP-сервер, который выдает PPTP-клиентам IP-адреса из подсети 192.168.111.0/24.

Когда я подключаюсь к центральному Мироктику из дома (Linux), то подсети филиалов не доступны. Вижу только подсеть центрального офиса. Я пробовал настраивать на своем домашнем компе маршруты через команды route add, но всё равно достучаться до филиалов не могу.

Как сделать, чтобы я мог видеть с домашнего ПК подсети филиалов через VPN (PPTP) ? Таблица маршрутов на моем домашнем компе (Linux) сейчас такая:

172.16.34.0/24 via 172.16.34.1 dev ppp0 proto static metric 1 
172.16.34.1 dev ppp0 proto static scope link metric 1
192.168.200.0/24 via 172.16.34.1  dev ppp0
192.168.244.0/24 via 172.16.34.1  dev ppp0

На всех Мироктиках маршруты прописаны. Центральный видит филиальные, а филиальные видят центральный.

В чем может быть проблема? Как корректно прописать маршрут?

Answer 1

[Alexey Dmitriev]

Используйте команду traceroute чтобы понять в каком месте у вас проблема.
И учтите, что все хосты удаленных подсетей должны или иметь в качестве шлюзов по умолчанию свои офисные Микротики, а на микротиках должны быть прописаны все маршруты все на удаленные подсети, либо же каждый удаленный хост должен иметь статические маршруты ко всем удаленным сетям.

Comments

[Nikita]

Интересуют только сами Микротики филиалов. Они не пингуются. Делал traceroute сейчас. Он застрял на IP-адресе PPTP-сервера центрального Мироктика. Застрял на 192.168.111.1 и дальше не идет.

Получается, надо на центральном Мироктике прописать маршрут из 192.168.111.0 в 192.168.200.0 и 192.168.244.0 ?

Answer 2

[Ruslan-Strannik]

пропишите в секрете айпи удаленного L2TP-филиала и там же их сеть. пример в спойлере

тык

((локал адрес - адрес головного роутера. можете тут же прописать. (у меня прописан в профиле pptp)))
таким макаром на головном роутере маршрут появится до филиала автоматом.
хождение между этих сетей должно быть разрешено фаерволом

на филиальных роутерах вам нужно лишь 3 вещи.
1. Настройка l2tp соединения .
2. маршрут
/ip route add distance=1 dst-address=172.16.34.0/24 gateway=192.168.200.2
3. разрешить хождение к сети фаерволом.

Answer 3

[alex911k]

А я бы настроил OSPF и потом редистрибутировал маршруты через RIP и отдавала бы их в тунель(при домашнем подключении). Под винду рип слушатель есть. Под линукс теоретически тоже должен быть. Был хороший доклад на эту тему https://www.youtube.com/watch?v=p9_9fumNDYM
Там подробнее описана реализация.