Если вы настроили и установили VPN-туннель, но пинг проходит только до удаленного роутера и не проходит на компьютеры удаленной сети, то вероятнее всего на самих компьютерах блокирует трафик Брандмауэр Windows (Firewall).
В операционной системе Windows по умолчанию блокируются входящие подключения (в том числе и ICMP-запросы), если адрес источника этого подключения не принадлежит к назначенной на интерфейсе компьютера сети. При доступе к хосту в удаленную подсеть запрос будет приходить от адреса другой подсети, и соответственно будет заблокирован брандмауэром Windows.
TIP: Примечание: При использовании сторонней программы контроля сетевых подключений, например Kaspersky Internet Security или другой, настройка разрешающего правила доступа для трафика из удаленной сети будет аналогична, по нижеприведенному сценарию.
Далее рассмотрим настройку Брандмауэра Windows, разрешающую подключения из удаленной сети к компьютерам в локальной сети. Для этого достаточно создать политику сетевого экрана, регулирующую входящие подключения.
Приведенные в нашем примере скриншоты выполнены в ОС Windows 7.
1. В окне "Выполнить" (Win+R) введите wf.msc
Откроется окно конфигурации "Брандмауэр Windows в режиме повышенной безопасности". Это же окно можно открыть через меню "Панель управления > Система и безопасность > Брандмауэр Windows" по кнопке "Дополнительные параметры".
2. Выберите в в списке слева пункт "Правила для входящих подключений". Для добавления правила обработки трафика нужно нажать в правой панели "Создать правило..."
3. Откроется окно "Мастер создания правила для нового подключения". В нем нужно указать тип правила — "Настраиваемые" и перейти к следующему шагу по кнопке Далее.
4. В пунктах "Программа" и "Протокол и порты" не требуется менять установки по умолчанию.
В разделе "Область" следует установить переключатель "Укажите удаленные IP-адреса" в положение "Указанные IP-адреса" и нажать на кнопку Добавить.
5. В открывшемся окне нужно указать "IP-адрес удаленной подсети" и нажать OK.
В случае если правилом требуется разрешить доступ с компьютера в локальной сети VPN- сервера (правило создается на компьютере в локальной сети VPN-клиента), указывается подсеть на Домашнем интерфейсе VPN-сервера.
Если правило создается на компьютере в локальной сети VPN-сервера (требуется для разрешения входящих подключений из сети за VPN-клиентом), нужно указать подсеть, включающую адрес выданный клиенту от сервера. Для VPN-сервера PPTP, SSTP, L2TP/IPsec по умолчанию на интернет-центре это подсеть 172.16.1.0/24. Для сервера IPSec VPN нужно указать удаленную подсеть.
Можно указать несколько подсетей если к компьютеру требуется выполнять подключения из различных удаленных расположений. После ввода требуемых значений, нужно нажать Далее.
6. В разделе "Действие" оставьте предустановленное значение "Разрешить подключение" и нажмите Далее.
7. Раздел "Профиль" предоставляет возможность выбрать профиль, к которому будет относиться настроенное правило. Поскольку настройка выполняется для компьютера, подключенного в Домашней сети интернет-центра, достаточно оставить галочку напротив профиля "Частный" (Применяется при подключении компьютера к частной сети).
8. На завершающем шаге настройки нужно указать "Имя" правила и можно добавить поясняющее "Описание". Завершите работу мастера создания правила, нажав кнопку Готово.
9. Теперь в окне представления "Правила для входящих подключений" отображается созданное правило. В последних версиях ОС Windows для применения настройки дополнительных действий не требуется.
В случае если компьютер с ОС Windows подключен к локальной сети роутера, являющегося VPN-сервером и к нему требуется выполнять подключения из удаленной сети (за клиентом), в разрешающем правиле сетевого экрана следует указать подсеть, из которой выдаются адреса VPN-клиентам на сервере. По умолчанию на интернет-центрах Keenetic, при подключении к VPN-серверам PPTP, SSTP, L2TP/IPsec выдаются адреса клиентам из подсети частного диапазона 172.16.1.0/24.
Если компьютер, к которому требуется установить удаленное подключение, расположен в сети интернет-центра, являющегося VPN-клиентом, в разрешающем правиле Брандмауэра Windows потребуется указать подсеть, адрес из которой установлен на интерфейсе подключающегося из-за VPN-сервера компьютера. Согласно схеме в статье "Маршрутизация сетей через VPN", это подсеть 192.168.2.0/24.