Как правильно объединить 2 LAN по VPN (PPTP) с разными маршрутизаторами(роутерами)?
Есть две локальные сетки у одного провайдера (разные шлюзы и пулы адресов)
На первой локалке стоит tenda ac1200 (ac10u) с белым IP (LAN 192.168.1.0/24) (VPN IP 192.168.20.0/24)
На второй локалке стоит asus rt-ac53 тоже с белым IP (LAN 192.168.2.0/24) (VPN IP 192.168.10.0/24)
Оба роутера поддерживают PPTP сервер/клиент. Прошивки стоковые.
Цель: Взаимная видимость ресурсов внутри двух локальных сетей, правильная маршрутизация, при имеющемся оборудовании.
Проблема: при подключении того или иного роутера к другому весь трафик с ПК из локальной сети начинает идти через роутер, выступающий в данном случае в роли VPN-сервера.
При этом настроек в VPN на роутерах вроде “Использовать основной шлюз удаленной сети” нет.
* Прописывание статических маршрутов на роутерах - не делалось.
Вопрос: Возможно ли вообще по PPTP настроить подключение VPN-client -> VPN-server так, что бы ПК из LAN выходили в Интернет напрямую, а не через VPN-server, при этом видели ПК во второй LAN, при этом не прописывая маршрутизацию и не поднимая VPN-client на каждом ПК в локальных сетях?
Andrey Barbolin,
Поддерживают. Есть такие настройки в интерфейсах.
Я правильно понял, что в случае соединения роутеров по VPN (client > server) надо статические
маршруты прописывать, что бы роутер(клиент) понимал, какой трафик куда отправлять?
* (немного тупой вопрос) Это нужно делать только на роутере (в смысле достаточно будет?) или на клиентских ПК тоже прописывать?
PS: в тонкости маршрутизации только начал вникать, еще не все в голове уложилось.
По сути, нужно, чтобы роутеры поддерживали возможность использования нескольких wan-соединений: одного - для трафика в интернет, второго (PPTP или другой VPN) - для трафика в соседнюю сеть. А статическими маршрутами будет задаваться, какой трафик в какой интерфейс будет отправляться. Либо можно обойтись только статическими маршрутами, без VPN, если у роутеров есть взаимная сетевая доступность по ip-адресам на WAN-интерфейсах. Но нужно, чтобы роутеры поддерживали возможность прописывать маршруты в произвольные подсети, а в SOHO-роутерах такого часто нет. Если этой возможности нет в этих роутерах, то возможно получить нужный функционал, прошив их OpenWRT, если он на них поддерживается. На компьютерах в этом случае каких-то специальных настроек делать не придется.
P.S. Но лучше заменить сетевое оборудование на более подходящее для решения подобных задач.
f0rs1k, По умолчанию, роутер клиент получит дефолт и весь свой трафик запулит через роутер сервер, а роутер сервер пропиши маршрут только к одному клиенту. Соответственно, на клиенте надо убрать дефолт через VPN и прописать маршрут в сеть сервера, а на сервере прописать маршруты которые находятся за клиентом.
Дмитрий, Andrey Barbolin,
В принципе понятно написали. Спасибо. Будем тестировать.
PS: я правильно понял, что нужно на клиенте и сервере в статике просто указать какая подсеть за каким адресом находится и куда пакеты слать?
Но если не будет поднято vpn соединение то трафик просто не пройдет, так как NAT на роутерах надо будет отключить для пакетов с конкретных IP адресов (роутеры сервер/клиент)? (Роутеры у 1 провайдера в сети, но за разными шлюзами, в разных подсетях провайдера - они "не видят" друг друга, как устройства в одной локальной сети)
Кроме того, трафик будет не зашифрован (даже по простому pptp)?
Надежнее тогда с клиентов за роутером-клиентом поднимать vpn и прописать маршрут в локалку роутера-сервера? Правильно?
Средний
Сложный
Простой
