Объединение более двух сетей, используя VPN-сервер на Keenetic
Рассмотрим пример объединения 4-х удалённых локальных сетей через VPN-сервер PPTP. Каждая сеть имеет выход в интернет. Эта же настройка будет аналогичной и для VPN-сервера L2TP/IPsec и SSTP VPN, т.к. логика применяемая в Keenetic одинаковая для этих серверов.
Важно
Интернет-центр Keenetic, на котором будет работать сервер PPTP VPN, должен быть подключен к Интернету с публичным IP-адресом, а при использовании доменного имени KeenDNS, оно должно быть настроено в режиме Прямой доступ, для которого также требуется публичный IP-адрес. При несоблюдении любого из этих условий подключение к такому серверу из интернета будет невозможно.
Пусть сеть LAN 1 подключена к интернету через публичный "белый" IP-адрес и находится за роутером с PPTP-сервером. Каждая из сетей LAN 2-4 будет подключаться к серверу VPN при помощи PPTP-соединения. Основная задача состоит в обеспечении доступа между всеми объединяемыми сетями LAN 1-4.
В нашем примере главный роутер (с PPTP VPN-сервером) будет являться концентратором VPN-подключений. С ним будут устанавливаться все PPTP-подключения, и через него будет осуществляться маршрутизация между всеми подключенными подсетями. В настройках главного роутера потребуется создать столько учетных записей пользователей с правами доступа к VPN-серверу, сколько сетей вы планируете объединить (в нашем примере для 3-х удалённых подсетей созданы 3 учётные записи – net_2, net_3 и net_4).
Пусть сервер VPN выдает каждому из клиентов указанный IP-адрес: 172.16.1.2, 172.16.1.3 и 172.16.1.4 соответственно (обращаем ваше внимание, что эти IP-адреса принадлежат одной подсети). Для настройки VPN-сервера перейдите на страницу Приложения.
Статические маршруты на главном роутере (с VPN-сервером) будут включать следующие записи: для каждой из объединяемых сетей, кроме "Домашней сети" самого сервера, требуется в качестве адреса шлюза указать IP-адрес, выделенный соответствующему пользователю VPN-сервером. Настройку статических маршрутов выполните на странице Маршрутизация.
Важно
Все объединяемые удалённые подсети (как и пул IP-адресов на VPN-сервере) не должны иметь одинаковые или перекрывающиеся адресные пространства.
При настройке устройств для работы по данной схеме мы рекомендуем изменять адресацию в сети по умолчанию (сеть 192.168.1.0/24), приняв за порядковый номер сети число в третьем октете адреса IPv4, то есть LAN 2 – 192.168.2.0/24, LAN 3 – 192.168.3.0/24 и т.п. При 24-битной маске такие сети не перекрываются друг с другом и содержат достаточное количество адресов для хостов локальной сети.
Далее приведены настройки PPTP-подключения к серверу и маршрутизации на устройствах — клиентах VPN в схеме, слева направо.
Настройка клиента VPN из локальной сети LAN 2 (192.168.2.0/24):
В поле Адрес сервера нужно вписать публичный статичный WAN IP-адрес роутера, или зарегистрированное на роутере-сервере доменное имя KeenDNS (в этом случае на стороне сервера в настройках KeenDNS должен быть использован режим Прямой доступ, для которого также требуется публичный IP-адрес).
Два маршрута указывают на расположение сети LAN 3:
Для обеспечения связи с подсетью LAN 4 потребуется указать следующие маршруты:
Настройка клиента VPN из локальной сети LAN 3 (192.168.3.0/24):
Для обеспечения связи с сетью LAN 2 будут работать следующие маршруты:
Для обеспечения связи с сетью LAN 4 укажите следующие маршруты:
Настройка клиента VPN из локальной сети LAN 4 (192.168.4.0/24):
Для связи с сетью LAN 2 необходимо добавить следующие маршруты:
Для связи с сетью LAN 3 необходимо добавить следующие маршруты:
Примечание
1. Рекомендуется не включать опцию Использовать для выхода в интернет при настройке подключений к серверу VPN при работе по данной схеме, т.к. это избавляет от необходимости указывать настройки маршрутизации к сети за сервером явно вручную. При отсутствии этого флажка маршруты к сети за сервером будут переданы на клиентское устройство Keenetic автоматически.
2. При выполненных настройках компьютеры и другие хосты в любой из подключенных сетей к серверу VPN будут доступны в каждой из них по IP-адресу. В связи с тем, что в каждой из объединяемых сетей используется отличная от других подсеть, обнаружение устройств в сети Windows по именам компьютеров работать не будет.
3. Поскольку на интерфейсе PPTP-клиента по умолчанию включен межсетевой экран, блокирующий все входящие соединения, в настройках клиентских интернет-центров потребуется открыть нужные для работы порты/протоколы. На странице Межсетевой экран нужно создать соответствующие разрешающие правила для входящих подключений по любым протоколам (достаточно будет открыть доступ по протоколу IP). Например, правило для интернет-центра локальной сети LAN 3 будет выглядеть так:
4. Если вы установили VPN-подключение, а пинг проходит только до удалённого роутера и не проходит на компьютеры удалённой сети, то вероятнее всего на компьютерах блокирует трафик Брандмауэр Windows (Firewall). Дополнительную информацию можно найти в статье "Настройка Брандмауэра Windows для подключений из сети за VPN-сервером Keenetic". Если вы пытаетесь выполнить ping компьютера по его IP-адресу, убедитесь, что на компьютере не блокируются входящие подключения (по умолчанию Брандмауэр Windows блокирует icmp-запросы). Попробуйте повторить ping, отключив блокировку.