VPN + site to site

[makstruschenko]

Друзья всем привет, помогите решить головоломку с маршрутизацией:

есть 3 офиса

1 контроллер держит 2 офиса -> оба берут инет через точки с соседнего здания, там USG с инетом (локалка 192.168.10.1 и 192.168.30.1(Vlan30))
->на контроллере поднят VPN(192.168.0.1/24) средствами котролера Unifi + втроеный сервер Radius
клиенты коннектятся без проблем и имеют доступ к ресурсам обеих офисов

2 контроллер USG с инетом от провадера(локалка 192.168.50.1) соединен с первым по средствам Syte to Syte VPN, внутри локалки без проблем все 3 офиса имеют доступ к общим ресурсам в обе стороны
но клиенты подключенные по VPN имеют доступ к ресурсам только первых двух офисов, первого контроллера (впн сервер на нем)

помогите, что прописать чтобы ВПН клиенты увидели 3ий офис ?????спасибо

 

[fAntom]

VPN для внешних клиентов? На чем сделан? Настройки маршрутизации на нем надо смотреть.

 

[makstruschenko]

VPN для внешних клиентов? На чем сделан? Настройки маршрутизации на нем надо смотреть.

да для внешних клиентов, сам впн сервер поднят на контроллере 1
по маршрутизации хоть примерно есть какая инфа как маршрут построить?

и еще вопрос к знатокам, кто возможно как то обьеденить 2 контроллера чтобы они виделись как 2 сайта?

 

[fAntom]

как то обьеденить 2 контроллера чтобы они виделись как 2 сайта?

Контроллер может быть только один. А сайтов на нем несколько. VPN для внешних клиентов средствами unifi сделан?

 

[makstruschenko]

Контроллер может быть только один. А сайтов на нем несколько. VPN для внешних клиентов средствами unifi сделан?

да, средствами Unifi vpn l2tp ipsec, видны ресурсы только этого контроллера, а тот что syte to syte прикручен не виден

"А сайтов на нем несколько" - разве возможно добавить роутер с другой точки в городе в первый контроллер но на другой сайт? как он его увидит чтобы задообтить?они же изначально никак не соединены

 

[Traveler]

Добрый день, можно ли увидеть ваши настройки маршрутизации (с обоих сторон)?
Исходя из ваших слов выше, можно сделать вывод, что vpn сеть от 1-вого контролера (192.168.0.1) не знает о втором конролере (или знает, но на тогда контролер номер 2 не знает о vpn сети 1-вого контролера) из-за чего пользователи данной vpn сети не могут подключиться к 192.168.50.1

 

[makstruschenko]

Добрый день, можно ли увидеть ваши настройки маршрутизации (с обоих сторон)?
Исходя из ваших слов выше, можно сделать вывод, что vpn сеть от 1-вого контролера (192.168.0.1) не знает о втором конролере (или знает, но на тогда контролер номер 2 не знает о vpn сети 1-вого контролера) из-за чего пользователи данной vpn сети не могут подключиться к 192.168.50.1

можно конечно, какие настройки интересуют и где лежат? не сильно знаком с Unifi оборудованием еще
попробовал source - destination для ВПН юзверей прокинуть, и да думаю вы правы, в списке назначения нет сети 2-го контроллера

 

[zhenyat]

да, средствами Unifi vpn l2tp ipsec, видны ресурсы только этого контроллера, а тот что syte to syte прикручен не виден
Посмотреть вложение 9746

"А сайтов на нем несколько" - разве возможно добавить роутер с другой точки в городе в первый контроллер но на другой сайт? как он его увидит чтобы задообтить?они же изначально никак не соединены

По поводу переноса сайтов на один контролер:
Но у обоих usg же есть внешние белые адреса? Доступ к обоим котроллерам есть с одного компьютера?
Сначала вам надо на том usg, за которым работает контроллер, который должен остаться единственным, настроить проброс необходимых портов на контроллер и разрешить Network Discovery: Сделать контроллер видимым в сети 2го уровня (L2 network)
Потом можно на втором контроллере, который будет упразднён сделать экспорт сайта в файл. После этого на первом контроллере сделать импорт сайта из выгруженного файла. Убедится что все устройства нормально переехали на новый контроллер.
После этого изменить настройки Site-to-Site VPN изменив тип на Auto IPSEC VTI и указав сайт второй стороны

По поводу маршрутов: самое простое, если в настройках клиентов не стоит "использовать vpn как шлюз по умолчанию" - вручную прописывать маршрут во вторую сетку через внутренный ip vpn сервера

 

[makstruschenko]

короче не понимаю что не так, переделал с Manual IPsec на Auto IPsec VTI собрав обе сети в один контроллер, он сам прописал remote subnets, и все равно не работает что за фигня не понимаю
вот так впн сервер выглядит и оба сайта, по локалке друг друга видят норм

 

[makstruschenko]

друзья есть хоть какие идеи почему может не работать?

 

[fAntom]

Тут смотрели?:https://help.ui.com/hc/en-us/articles/115005445768-UniFi-USG-UDM-Configuring-L2TP-Remote-Access-VPN#4

 

[makstruschenko]

Тут смотрели?:https://help.ui.com/hc/en-us/articles/115005445768-UniFi-USG-UDM-Configuring-L2TP-Remote-Access-VPN#4

да почитал, вроде все так же, нет отписанных проблем

возможно дело все таки в том что 3-я сеть 176.16.50.1 лежит за NAT от провайдера ? там 2 точки микроток, но почему тогда Syte To Syte работает без проблем? на сколько я смотрел wan там у роутера внутренней какой-то, нет тот что внешка может в этом дело? разве не должны впн юзеры первой сети маршрутизироватся по ip syte to syte?

 

[zhenyat]

да почитал, вроде все так же, нет отписанных проблем

возможно дело все таки в том что 3-я сеть 176.16.50.1 лежит за NAT от провайдера ? там 2 точки микроток, но почему тогда Syte To Syte работает без проблем? на сколько я смотрел wan там у роутера внутренней какой-то, нет тот что внешка может в этом дело? разве не должны впн юзеры первой сети маршрутизироватся по ip syte to syte?

Вы у клиента таблицу маршрутизации смотрели?