Объединение более двух сетей, используя VPN-сервер на Keenetic

К интернет-центру Keenetic, выступающего в роли VPN-сервера, можно установить более 10 клиентских одновременных подключений.
Начиная с версии KeeneticOS 2.14 был увеличен лимит количества VPN-туннелей PPTP:
до 100 (для Start, 4G, Lite, Omni, City, Air, Extra и Zyxel Keenetic Air, Start II, Lite III rev.B, 4G III rev.B, Extra II);
до 150 (для DSL и Duo) и до 200 (для Giga и Ultra).
В версиях до 2.14 ограничение для VPN PPTP составляло 10 одновременных туннелей.
Для VPN-туннелей L2TP/IPsec ограничение отсутствует. Число одновременных туннелей определяется аппаратными возможностями конкретной модели.

Рассмотрим пример объединения 4-х удалённых локальных сетей через VPN-сервер PPTP. Каждая сеть имеет выход в Интернет. Эта же настройка будет аналогичной и для VPN-сервера L2TP/IPsec, т.к. логика применяемая в Keenetic одинаковая для этих серверов.

Пусть сеть LAN 1 подключена к Интернету через публичный "белый" IP-адрес и находится за интернет-центром с PPTP-сервером. Каждая из сетей LAN 2-4 будет подключаться к серверу VPN при помощи PPTP-соединения. Основная задача состоит в обеспечении доступа между всеми объединяемыми сетями LAN 1-4.

vpn-concentrator.jpg

В нашем примере главный интернет-центр (с VPN-сервером PPTP) будет являться концентратором VPN-подключений. С ним будут устанавливаться все PPTP-подключения, и через него будет осуществляться маршрутизация между всеми подключенными подсетями. В настройках главного интернет-центра потребуется создать столько учетных записей пользователей с правами доступа к VPN-серверу, сколько сетей вы планируете объединить (в нашем примере для 3-х удаленных подсетей созданы 3 учетные записи – net_2, net_3 и net_4).

Пусть сервер VPN выдает каждому из клиентов указанный IP-адрес: 172.16.1.2, 172.16.1.3 и 172.16.1.4 соответственно (обращаем ваше внимание, что эти IP-адреса принадлежат одной подсети). Для настройки VPN-сервера перейдите на страницу "Приложения".

vpn-con-01.png 

vpn-con-02.png

Статические маршруты на главном интернет-центре (с VPN-сервером) будут включать следующие записи: для каждой из объединяемых сетей, кроме "Домашней сети" самого сервера, требуется в качестве адреса шлюза указать IP-адрес, выделенный соответствующему пользователю VPN-сервером. Настройку статических маршрутов выполните на странице "Маршрутизация".

vpn-con-03.png

vpn-con-04.png

NOTE: Важно! Все объединяемые удаленные подсети (как и пул IP-адресов на VPN-сервере) не должны иметь одинаковые или перекрывающиеся адресные пространства.

При настройке устройств для работы по данной схеме мы рекомендуем изменять адресацию в сети по умолчанию (сеть 192.168.1.0/24), приняв за порядковый номер сети число в третьем октете адреса IPv4, то есть LAN 2 – 192.168.2.0/24, LAN 3 – 192.168.3.0/24 и т.п. При 24-битной маске такие сети не перекрываются друг с другом и содержат достаточное количество адресов для хостов локальной сети.

Далее приведены настройки PPTP-подключения к серверу и маршрутизации на устройствах — клиентах VPN в схеме, слева направо. 

Настройка клиента VPN из локальной сети LAN 2 (192.168.2.0/24):

vpn-con-05.png 

vpn-con-06.png

Два маршрута указывают на расположение сети LAN 3:

vpn-con-07.png

vpn-con-08.png

Для обеспечения связи с подсетью LAN 4 потребуется указать следующие маршруты:

vpn-con-09.png

vpn-con-10.png

Настройка клиента VPN из локальной сети LAN 3 (192.168.3.0/24): 

vpn-con-11.png 

vpn-con-13.png

Для обеспечения связи с сетью LAN 2 будут работать следующие маршруты:

vpn-con-14.png

vpn-con-15.png

Для обеспечения связи с сетью LAN 4 укажите следующие маршруты:

vpn-con-16.png

vpn-con-17.png 

Настройка клиента VPN из локальной сети LAN 4 (192.168.4.0/24):

vpn-con-18.png

vpn-con-19.png

Для связи с сетью LAN 2 необходимо добавить следующие маршруты: 

vpn-con-20.png 

vpn-con-21.png

Для связи с сетью LAN 3 необходимо добавить следующие маршруты:

vpn-con-22.png 

vpn-con-23.png

Примечание 

1. Рекомендуется не включать опцию "Использовать для выхода в Интернет "при настройке подключений к серверу VPN при работе по данной схеме, т.к. это избавляет от необходимости указывать настройки маршрутизации к сети за сервером явно вручную. При отсутствии этого флажка маршруты к сети за сервером будут переданы на клиентское устройство Keenetic автоматически. 

2. При выполненных настройках компьютеры и другие хосты в любой из подключенных сетей к серверу VPN будут доступны в каждой из них по IP-адресу. В связи с тем, что в каждой из объединяемых сетей используется отличная от других подсеть, обнаружение устройств в сети Windows по именам компьютеров работать не будет.

3. Поскольку на интерфейсе PPTP-клиента по умолчанию включен межсетевой экран, блокирующий все входящие соединения, в настройках клиентских интернет-центров потребуется открыть нужные для работы порты/протоколы. На странице "Межсетевой экран" нужно создать соответствующие разрешающие правила для входящих подключений по любым протоколам (достаточно будет открыть доступ по протоколу IP).
Например, правило для интернет-центра локальной сети LAN 3 будет выглядеть так:

vpn-con-24.png

vpn-con-25.png

4. Если вы установили VPN-подключение, а пинг проходит только до удаленного роутера и не проходит на компьютеры удаленной сети, то вероятнее всего на компьютерах блокирует трафик Брандмауэр Windows (Firewall). Дополнительную информацию можно найти в статье "Настройка Брандмауэра Windows для подключений из сети за VPN-сервером Keenetic".
Если вы пытаетесь выполнить ping компьютера по его IP-адресу, убедитесь, что на компьютере не блокируются входящие подключения (по умолчанию Брандмауэр Windows блокирует icmp-запросы). Попробуйте повторить ping, отключив блокировку.

 

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 1

Еще есть вопросы? Отправить запрос

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.