Почему нету VPN соединения между сетями без NAT masquerade?

Question

[kovalr]

Здравствуйте, вопрос кажется простым, но не могу понять.
Вот для примера схема сети

Роутер А клиент
Роутер B сервер

Роутер А получает ip адрес 192.168.1.10.
В NAT цепочке одно правило masquerade на публичный интерфейс для доступа к Интернету.
В этой конфигурации роутер А пингует роутер B. Компьютеры за роутером А не могут пинговать роутер B.

После добавление в роутер А правила NAT masquerade на VPN интерфейс, компьютеры за роутером А уже могут пинговать роутер B.

Почему обязательно нужно делать masquerade на VPN интерфейс для доступа к сети B ?
Почему не срабатывает маршрутизиция ? Кажется приватные адреса должны маршрутизироваться ?

Answer 1

[akelsey]

В такой ситуации нужен site-to-site vpn.
Машинки за роутером B понятия не имеют где искать машинки из 192.168.2.0/24.
PS
Соответственно и адреса на концах VPN туннеля нужны, для правильной маршрутизации, не из тех же самых подсетей, т.е. не 192.168.1.0/24 и не 192.168.2.0/24.

Comments

[kovalr]

Машинки за роутером B понятия не имеют где искать машинки из 192.168.2.0/24.

Ок, это понятно. Но тогда пакеты должны идти на шлюз (gateway of last resort), а роутер уже знает все маршруты. Разве не так?

[akelsey]

kovalr,
Далее все высокоуровнево:
Для компьютера 192.168.1.5 шлюзом по умолчанию является 192.168.1.254, логично?
Теперь компьютер 192.168.1.5 хочет отправить запрос (или ответить) компьютеру 192.168.2.5.
Он видит что компьютер не в его броадкаст домене и отправляет пакет роутеру 192.168.1.254
Роутер 192.168.1.254 - смотрит, кто нибудь отвечает за 192.168.2.5?
Не находит эту сеть и отправляет в свой шлюз по умолчанию. Тут уж я не знаю какой - на схеме его нет.
Дальше ответа нет, всё кончилось.

[kovalr]

akelsey, Вот развязка. Спасибо. Теперь всё понятно. Добавил маршрут на Router B и всё заработало без маскарада.

Answer 2

[АртемЪ]

Почему же нет? Есть.
Используйте маршрутизацию вместо NAT и все.

Если вам не нужен доступ к интернету это делается без проблем.
Если нужен доступ к сети интернет - все адреса должны быть белыми (маршрутизироваться в сети интернет)

NAT используют только когда нужно организовать доступ в интерент сети с частными (серыми) адресами, поскольку эти адреса не маршрутизируются в глобальную сеть.