Проброс портов через интернет-канал VPN-сервера в удаленную локальную сеть за VPN-клиентом

Есть Keenetic Giga II (локальная сеть 192.168.1.0/24) c доступом в Интернет через "белый" публичный IP-адрес, на котором включен VPN-сервер PPTP. В территориально другом месте установлен Keenetic Omni (локальная сеть 192.168.2.0/24) и подключен к Интернету через другого провайдера с "серым" внутренним IP-адресом. Между Keenetic Giga II и Keenetic Omni установлен VPN-туннель по протоколу PPTP.sch.png
Как из Интернета, обращаясь по "белому" публичному IP-адресу Keenetic Giga II, можно попасть на веб-интерфейс удаленного Keenetic Omni или другого хоста локальной сети, находящейся за VPN-туннелем? Как настроить проброс портов с WAN-интерфейса Keenetic Giga II в локальную сеть за Keenetic Omni?


 
1. Интернет-центр Keenetic Giga II выходит в Интернет через интерфейс ISP c "белым" публичным IP-адресом.

2. В Keenetic Giga II нужно дополнительно в настройках VPN-сервера (в меню Приложения - Сервер VPN) включить механизм NAT для клиентов (Транслировать адреса клиентов), использовать функцию Одно подключение на пользователя и прописать статический IP-адрес для клиента, под которым будет подключаться Keenetiс Omni.
 
3. Также нужно добавить статический маршрут в меню Интернет - Прочее на подсеть 192.168.2.0/24 через IP-адрес, который мы зарезервировали в предыдущем пункте (в нашем примере это IP-адрес 172.16.1.33).
 
4. На Keenetic Omni необходимо в меню Интернет - PPPoE/VPN настроить соединение PPTP к VPN-серверу на Keenetic Giga II и обязательно установить галочку в поле Использовать для выхода в Интернет. Приоритет данного интерфейса нужно выставить больше, чем у интерфейса локального провайдера, иначе ответы на запросы будут уходить к локальному провайдеру по маршруту, который установлен по умолчанию.
 
 
Внимание! Так как на устройстве была установлена галочка в поле "Использовать для выхода в Интернет" и приоритет интерфейса PPTP больше, чем у интерфейса локального провайдера, по умолчанию весь трафик будет идти в VPN-туннель. Если же на Keenetic Omni нужно оставить выход в Интернет через локального провайдера, нужно будет прописать статические маршруты через интерфейс PPTP0 для всех клиентов, которые будут пользоваться пробросом портов (доступом к удаленным хостам). Для этого нужно знать их IP-адреса. Например, мы будем обращаться по открытым портам с удаленного хоста, который имеет IP-адрес выхода в Интернет 95.211.169.65. В этом случае для работы проброса портов на Keenetic, который является PPTP-клиентом, нужно прописать маршрут до этого хоста (с IP 91.211.169.65) в меню Интернет - Прочее - Добавить маршрут через интерфейс PPTP.
static-route.png
 
5. Также для интерфейса PPTP0 необходимо разрешить прохождение трафика в меню Безопасность - Межсетевой экран.
 
6. После этого в Keenetic Giga II нужно настроить правило проброса порта на удаленную подсеть в меню Безопасность - Трансляция сетевых адресов.
В нашем примере выполним проброс внешнего порта 888 на локальный IP-адрес интернет-центра Keenetic Omni и порт 80 для доступа к его веб-интерфейсу.
 
После данной настройки можно будет из Интернета обращаться по "белому" публичному IP-адресу интернет-центра Keenetic Giga II по порту 888 (http://46.72.x.x:888), чтобы попасть на веб-интерфейс удаленного Keenetic Omni, находящегося за VPN. Подобным образом, можно пробросить порт на любой хост в удаленной локальной сети, находящейся за VPN-туннелем.
 
Примечание
 
Настройка Использовать для доступа в Интернет и указание высшего приоритета для интерфейса PPTP включают маршрут по умолчанию на устройстве через PPTP-туннель. На устройствах серии Keenetic под управлением NDMS V2 возможен лишь один (безусловный) маршрут по умолчанию. Если данную настройку не выполнить, ответы на проброшенные с сервера сквозь туннель запросы будут отправлены клиентом через WAN-интерфейс. Это приведет к проблеме "треугольного маршрута".
Чтобы этого избежать, не выполняя назначение маршрута по умолчанию через туннель к серверу, можно настроить статическую маршрутизацию, если известны IP-адреса хостов, с которых происходят обращения в сеть клиента, для них нужно создать маршруты через интерфейс туннеля PPTP.
 
Такую схему можно реализовать, если подключать к серверу устройство сегмента профессионального оборудования. 
Например, настройка функции политики маршрутизации в ZyWALL 20, приведена в примечании 2 к статье «Инструкция по настройке аппаратного шлюза серии ZyWALL USG для подключения к Интернету по протоколу PPTP/PPPoE» в Базе знаний.
 

 

KB-4536

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 2 из 2
Еще есть вопросы? Отправить запрос

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.