На главную Наши проекты:
Журнал   ·   Discuz!ML   ·   Wiki   ·   DRKB   ·   Помощь проекту
ПРАВИЛА FAQ Помощь Участники Календарь Избранное RSS
msm.ru
  
> Подключение к VPN - лажа из-за промежуточного роутера
    Добрый вечер. Вот вырезка из трассировки:
    Цитата
    10.10.10.1 - мой личный роутер
    172.20.20.1 - роутер компании
    192.168.10.1 - еще чей-то роутер через который идет выход в тырнет
    XX.XX.XXX.225 - соседний с внешним IP адрес,

    ну и далее по тексту.

    В другой локации есть сеть 192.168.0.0/24 и настроен VPN сервер. При подключении из текущей сети происходит следующее:
    Цитата
    Проверка имени пользователя и пароля...
    Ошибка 721: удаленный компьютер не отвечает.


    Проблема связана с тем что при проверке пароля, видимо, осуществляется соединение напрямую через VPN канал, но (без VPN) есть следующая лажа:
    Цитата
    tracert local.domain [192.168.0.1]
    1 <1 ms <1 ms <1 ms 10.10.10.1
    2 1 ms <1 ms <1 ms 172.20.20.1
    3 1 ms <1 ms 1 ms 192.168.10.1
    4 192.168.10.1 заданная сеть недоступна
    Зачем-то трафик к 192.168.0.1 идет через 192.168.10.1 и VPN подключение не может быть установлено.
    С сервером все в порядке, проверял только что с другой удаленной машины.
    Собственно наличие сетей 192.168.x.y было проблемой только если это 192.168.0/24 из которой невозможно подключиться к другой такой же. Конкретно данную ситуацию вижу впервые. Как с этим бороться?
    Сообщение отредактировано: Виталь -
      Цитата Виталь @
      Зачем-то трафик к 192.168.0.1 идет через 192.168.10.1

      IPCONFIG /ALL + ROUTE PRINT в студию.
        У меня нигде не сказано что трафик на 192.168.0.* должен уходить наружу
        Цитата
        Активные маршруты:
        Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
        0.0.0.0 0.0.0.0 10.10.10.1 10.10.10.78 25
        10.10.10.0 255.255.255.0 10.10.10.78 10.10.10.78 25
        10.10.10.78 255.255.255.255 127.0.0.1 127.0.0.1 25
        10.255.255.255 255.255.255.255 10.10.10.78 10.10.10.78 25
        127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
        224.0.0.0 240.0.0.0 10.10.10.78 10.10.10.78 25
        255.255.255.255 255.255.255.255 10.10.10.78 10.10.10.78 1
        255.255.255.255 255.255.255.255 10.10.10.78 2 1
        255.255.255.255 255.255.255.255 10.10.10.78 4 1
        Основной шлюз: 10.10.10.1

        После запуска VPN соединения ("Проверка имени пользователя и пароля") таблица точно такая же.
        Это ноутбук, в других сетях соединение успешно устанавливается потому проблемы на локальном компьютере и на сервере я сразу исключил. Вопрос как обойти этот левый роутер 192.168.10.1 который зачем-то распределяет трафик не только на 192.168.10.* но и на 192.168.0.*
          Цитата Виталь @
          У меня нигде не сказано что трафик на 192.168.0.* должен уходить наружу

          Вот маршрут для трафика на 192.168.0.* :

          Цитата Виталь @
          0.0.0.0 0.0.0.0 10.10.10.1 10.10.10.78 25

          А VPN-интерфейса (вернее, маршрутов через него) я вообще не вижу (где, кстати, IPCONFIG?).
            VPN соединение еще не установлено, валится на статусе проверки пароля. В Route на этом этапе ничего не добавляется.
            В ipconfig ничего интересного нет, подключение WiFi, хост адаптер VirtualBox и все остальное отключено.

            Ключевой момент - это происходит только в данной локальной сети. Из остальных соединение с VPN сервером успешно.
            PPTP VPN поверх OpenVPN также устанавливается нормально, но gateway не меняется. Это чисто для эксперимента, работать так не нужно.

            ExpandedWrap disabled
              LAN - Ethernet адаптер:
               
                      Состояние сети  . . . . . . . . . : сеть отключена
               
              wifi - Ethernet адаптер:
               
                      DNS-суффикс этого подключения . . :
                      IP-адрес  . . . . . . . . . . . . : 10.10.10.78
                      Маска подсети . . . . . . . . . . : 255.255.255.0
                      IP-адрес  . . . . . . . . . . . . : XXXX
                      Основной шлюз . . . . . . . . . . : 10.10.10.1
               
              TAP - Ethernet адаптер:
               
                      Состояние сети  . . . . . . . . . : сеть отключена
               
              VirtualBox Host-Only Network - Ethernet адаптер:
               
                      DNS-суффикс этого подключения . . :
                      IP-адрес  . . . . . . . . . . . . : 192.168.33.1
                      Маска подсети . . . . . . . . . . : 255.255.255.0
                      IP-адрес  . . . . . . . . . . . . : XXXX
                      Основной шлюз . . . . . . . . . . :
               
              Teredo Tunneling Pseudo-Interface - туннельный адаптер:
               
                      DNS-суффикс этого подключения . . :
                      IP-адрес  . . . . . . . . . . . . : fe80::XXXX
                      Основной шлюз . . . . . . . . . . :
               
              Automatic Tunneling Pseudo-Interface - туннельный адаптер:
               
                      DNS-суффикс этого подключения . . :
                      IP-адрес  . . . . . . . . . . . . : fe80::XXXX
                      Основной шлюз . . . . . . . . . . :
               
              Automatic Tunneling Pseudo-Interface - туннельный адаптер:
               
                      DNS-суффикс этого подключения . . :
                      IP-адрес  . . . . . . . . . . . . : fe80::XXXX
                      Основной шлюз . . . . . . . . . . :
              1.VPN сервер находится за пределами
              Цитата
              XX.XX.XXX.225 - соседний с внешним IP адрес,

              ?
              2. Клиент впна кто? 10.10.10.78?
              3. Сервер впна висит на айпишнике из сети 192.168.0.0/24
              Если ответы на все вопросы "да", то с вероятностью 99% на хопе 192.168.10.1 имеется роут в сеть 192.168.0.0/24 явно принадлежащую кому-то ещё.

              Добавлено
              Ну и на всякий случай давай трассу до сервера впн
              Сообщение отредактировано: Gonarh -
                Первая трассировка в 1 посте до любого интернет узла в том числе до VPN сервера который висит на нормальном белом IP.
                Соединение устанавливается (если службу VPN остановить - ошибка другая).

                Клиент впна 10.10.10.78, это локальный IP за NATом который стоит за вторым NATом который за третьим NATом (в доме который построил Джек).
                Третий NAT от роутера с адресом 192.168.10.1, при этом VPN сервер раздает IP адреса своей локальной сети 192.168.0.1/24 (та же проблема с другим VPN сервером с сетью 192.168.1.1/24). Из всех сетей подключенных через роутер 192.168.10.1 не работает никакой VPN кроме OpenVPN, но там другая технология.

                Цитата
                на хопе 192.168.10.1 имеется роут в сеть 192.168.0.0/24 явно принадлежащую кому-то ещё

                Верю. При этом сканер портов не дает ни одной живой машины из этой подсети. Я вангую что какой-то идиот на хопе 192.168.10.1 маску подсети задал неправильную, потому что
                Цитата
                Трассировка маршрута к 192.168.255.1 с максимальным числом прыжков 30

                1 <1 мс <1 мс <1 мс 10.10.10.1
                2 1 ms <1 мс <1 мс 172.20.20.1
                3 1 ms <1 мс 1 ms 192.168.10.1
                4 192.168.10.1 сообщает: Заданная сеть недоступна.

                Вопрос как это обойти если у меня есть только мой компьютер 10.10.10.78 и мой роутер 10.10.10.1
                Сообщение отредактировано: Виталь -
                  Цитата Виталь @
                  Вопрос как это обойти

                  Никак, маршрутизацию не обмануть, либо меняй диапазон адресов на впн серве, либо долби владельца 192.168.10.1
                    Мой компьютер должен заворачивать трафик между локальными IP адресами 192.168.0.* в пакеты PPTP VPN отправляемые на удаленный сервер с белым IP.
                    Я не понимаю почему какой-то узел посредине пути создает проблему из-за грубо говоря конфликта адресов, PPTP пакет же должен идти от меня напрямую на VPN сервер, внешний IP адрес сервера 85.х.х.х.х на него устанавливаются подключения нормально.
                    Сообщение отредактировано: Виталь -
                      Цитата Виталь @
                      Мой компьютер должен заворачивать трафик между локальными IP адресами 192.168.0.* в пакеты PPTP VPN отправляемые на удаленный сервер с белым IP.

                      Я не увидел нигде у тебя на стороне клиента интерфейсы с 192.168.0.0/24.
                        Ну так их винда должна создавать на этапе подключения. Я не понимаю принцип работы PPTP, больше понимаю OpenVPN.
                        Знаю что оба заворачивают пакеты в свой протокол и разворачивают на той стороне, за той разницей что PPTP может висеть только на строго определенном порту, а OpenVPN можно повесить хоть на 80й порт для обхода блокировок.
                          Цитата Виталь @
                          Знаю что оба заворачивают пакеты в свой протокол и разворачивают на той стороне

                          Если пакеты не предназначены сети в туннеле, и не установлен add default gateway в настройках оного, то пакеты будут лететь в основной канал.

                          Сообщения были разделены в тему "spam"
                          0 пользователей читают эту тему (0 гостей и 0 скрытых пользователей)
                          0 пользователей:


                          Рейтинг@Mail.ru
                          [ Script execution time: 0,0360 ]   [ 15 queries used ]   [ Generated: 28.03.24, 15:13 GMT ]