- Автор темы
- #4
Задача: развертывание VPN интрасети на базе роутеров EdgeRouter.
Сеть предприятия состоит из 4-х площадок:
-ГЛАВ.ОФИС
-Филиал_Барнаул
-Филиал_Хабаровск
-Филиал_Омск
каждая из которых имеет оптоволоконный доступ в Интернет. «Белый» IP адрес имеет только площадка ГЛАВ.ОФИС – 75.35.85.125. По нему будут адресоваться VPN-клиенты.
Настройка роутеров начинается с Reset-а – удерживая скрепкой, выключить и включить питание, дождаться прекращения мигания светодиодов на панели EdgeRouter-а. Далее на компьютере установить IP адрес 192.168.1.11 подсоединить его к порту eth0, войти в GUI по адресу 192.168.1.1, установить последнюю прошивку (1.5.0 на 10/07/2014), используя Wizard WAN-2LAN подключиться к провайдеру.
На каждой площадке для корректной работы Интрасети должна быть своя IP адресация:
Место диапазон адресов код сети
ГЛАВ.ОФИС - с 192.168.16.1 по 192.168.31.254 192.168.16.0/20
Филиал_Барнаул - с 192.168.32.1 по 192.168.47.254 192.168.32.0/20
Филиал_Хабаровск - с 192.168.48.1 по 192.168.63.254 192.168.48.0/20
Филиал_ Омск - с 192.168.64.1 по 192.168.79.254 192.168.64.0/20
Необходимо поменять настройки сетевого интерфейса всех роутеров для LAN подключения (на каждом своя подсеть 16, или 32, или 48, или 64):
Шлюзом на каждой площадке является первый IP адрес диапазона адресов, закрепленный за EdgeRouter-ами. На каждом роутере установить DHCP сервер, раздающий IP из диапазона адресов:
Место диапазон DHCP адресов Gateway
ГЛАВ.ОФИС - с 192.168.16.21 по 192.168.31.250 192.168.16.1
Филиал_Барнаул - с 192.168.32.21 по 192.168.47.250 192.168.32.1
Филиал_Хабаровск - с 192.168.48.21 по 192.168.63.250 192.168.48.1
Филиал_ Омск - с 192.168.64.21 по 192.168.79.250 192.168.64.1
ЛИШНИЕ DHCP СЕРВЕРЫ УДАЛИТЬ
На роутере ГЛАВ.ОФИС для конфигурирования VPN сервера необходимо в консоли ввести следующие команды:
configure
set vpn pptp remote-access authentication mode local
set vpn pptp remote-access authentication local-users username brnul password akwi375hf
set vpn pptp remote-access authentication local-users username hbrvsk password w83759kjs
set vpn pptp remote-access authentication local-users username omsk password i657hvo98
set vpn pptp remote-access client-ip-pool start 192.168.255.10
set vpn pptp remote-access client-ip-pool stop 192.168.255.110
set vpn pptp remote-access outside-address 192.168.16.1
set vpn pptp remote-access dns-servers server-1 8.8.8.8
set vpn pptp remote-access dns-servers server-2 8.8.4.4
set vpn pptp remote-access authentication local-users username brnul static-ip 192.168.255.32
set vpn pptp remote-access authentication local-users username hbrvsk static-ip 192.168.255.48
set vpn pptp remote-access authentication local-users username omsk static-ip 192.168.255.64
commit
save
Замечание: важно закрепить статично IP адреса туннелей, чтобы при хаотичном подключении не получать IP адреса хаотично. Пригодится для маршрутизации.
На остальных роутерах для настройки VPN клиентов в консоли ввести следующие команды, меняя только user-id и password :
configure
edit interfaces pptp-client pptpc0
set server-ip 75.35.85.125
set user-id omsk
set password i657hvo98
set require-mppe
commit
save
Для возможности прохождения VPN трафика, на роутере ГЛАВ.ОФИС (где настроен VPN сервер) в Firewall-е необходимо разрешить доступ входящего (WAN_LOCAL) TCP протокола по порту 1723 и протокола GRE. Это делается в GUI. Находясь в «Ruleset Configuration for WAN_LOCAL», добавить два новых правила – кнопка «Add New Rule»
Следующий этап – настройка маршрутизации для VPN. Все пакеты на роутерах VPN клиентов с локальными адресами 192.168.*.* должны быть направлены в VPN-туннель в сторону сервера
. На сервере маршрутов должно быть три, по одному на каждый VPN-клиент:
На каждой площадке есть серверы, доступ к которым должен быть со всех устройств всех площадок. Для этого в файлы c:\windows\system32\drivers\etc\hosts необходимо внести их IP адреса и имена:
192.168.16.33 server_think
192.168.64.30 server_un
192.168.48.26 server-is
192.168.32.23 server-dj
Закрепить IP адреса серверов необходимо в DHCP серверах на роутерах:
Сеть предприятия состоит из 4-х площадок:
-ГЛАВ.ОФИС
-Филиал_Барнаул
-Филиал_Хабаровск
-Филиал_Омск
каждая из которых имеет оптоволоконный доступ в Интернет. «Белый» IP адрес имеет только площадка ГЛАВ.ОФИС – 75.35.85.125. По нему будут адресоваться VPN-клиенты.
Настройка роутеров начинается с Reset-а – удерживая скрепкой, выключить и включить питание, дождаться прекращения мигания светодиодов на панели EdgeRouter-а. Далее на компьютере установить IP адрес 192.168.1.11 подсоединить его к порту eth0, войти в GUI по адресу 192.168.1.1, установить последнюю прошивку (1.5.0 на 10/07/2014), используя Wizard WAN-2LAN подключиться к провайдеру.
На каждой площадке для корректной работы Интрасети должна быть своя IP адресация:
Место диапазон адресов код сети
ГЛАВ.ОФИС - с 192.168.16.1 по 192.168.31.254 192.168.16.0/20
Филиал_Барнаул - с 192.168.32.1 по 192.168.47.254 192.168.32.0/20
Филиал_Хабаровск - с 192.168.48.1 по 192.168.63.254 192.168.48.0/20
Филиал_ Омск - с 192.168.64.1 по 192.168.79.254 192.168.64.0/20
Необходимо поменять настройки сетевого интерфейса всех роутеров для LAN подключения (на каждом своя подсеть 16, или 32, или 48, или 64):
Шлюзом на каждой площадке является первый IP адрес диапазона адресов, закрепленный за EdgeRouter-ами. На каждом роутере установить DHCP сервер, раздающий IP из диапазона адресов:
Место диапазон DHCP адресов Gateway
ГЛАВ.ОФИС - с 192.168.16.21 по 192.168.31.250 192.168.16.1
Филиал_Барнаул - с 192.168.32.21 по 192.168.47.250 192.168.32.1
Филиал_Хабаровск - с 192.168.48.21 по 192.168.63.250 192.168.48.1
Филиал_ Омск - с 192.168.64.21 по 192.168.79.250 192.168.64.1
ЛИШНИЕ DHCP СЕРВЕРЫ УДАЛИТЬ
На роутере ГЛАВ.ОФИС для конфигурирования VPN сервера необходимо в консоли ввести следующие команды:
configure
set vpn pptp remote-access authentication mode local
set vpn pptp remote-access authentication local-users username brnul password akwi375hf
set vpn pptp remote-access authentication local-users username hbrvsk password w83759kjs
set vpn pptp remote-access authentication local-users username omsk password i657hvo98
set vpn pptp remote-access client-ip-pool start 192.168.255.10
set vpn pptp remote-access client-ip-pool stop 192.168.255.110
set vpn pptp remote-access outside-address 192.168.16.1
set vpn pptp remote-access dns-servers server-1 8.8.8.8
set vpn pptp remote-access dns-servers server-2 8.8.4.4
set vpn pptp remote-access authentication local-users username brnul static-ip 192.168.255.32
set vpn pptp remote-access authentication local-users username hbrvsk static-ip 192.168.255.48
set vpn pptp remote-access authentication local-users username omsk static-ip 192.168.255.64
commit
save
Замечание: важно закрепить статично IP адреса туннелей, чтобы при хаотичном подключении не получать IP адреса хаотично. Пригодится для маршрутизации.
На остальных роутерах для настройки VPN клиентов в консоли ввести следующие команды, меняя только user-id и password :
configure
edit interfaces pptp-client pptpc0
set server-ip 75.35.85.125
set user-id omsk
set password i657hvo98
set require-mppe
commit
save
Для возможности прохождения VPN трафика, на роутере ГЛАВ.ОФИС (где настроен VPN сервер) в Firewall-е необходимо разрешить доступ входящего (WAN_LOCAL) TCP протокола по порту 1723 и протокола GRE. Это делается в GUI. Находясь в «Ruleset Configuration for WAN_LOCAL», добавить два новых правила – кнопка «Add New Rule»
Следующий этап – настройка маршрутизации для VPN. Все пакеты на роутерах VPN клиентов с локальными адресами 192.168.*.* должны быть направлены в VPN-туннель в сторону сервера
. На сервере маршрутов должно быть три, по одному на каждый VPN-клиент:
На каждой площадке есть серверы, доступ к которым должен быть со всех устройств всех площадок. Для этого в файлы c:\windows\system32\drivers\etc\hosts необходимо внести их IP адреса и имена:
192.168.16.33 server_think
192.168.64.30 server_un
192.168.48.26 server-is
192.168.32.23 server-dj
Закрепить IP адреса серверов необходимо в DHCP серверах на роутерах:
- Автор темы
- #6
Задам здесь свой вопрос.
VPN работает корректно, но скорость невысокая - около 6 Мбит.
Возможно, тормозит шифрование. Кто знает, как его отключить на сервере VPN. На клиенте, по умолчанию, оно и так отключено,
приходится явно указывать его использование командой set require-mppe.
Какие есть варианты?
VPN работает корректно, но скорость невысокая - около 6 Мбит.
Возможно, тормозит шифрование. Кто знает, как его отключить на сервере VPN. На клиенте, по умолчанию, оно и так отключено,
приходится явно указывать его использование командой set require-mppe.
Какие есть варианты?
Проделал данные действия, получил такую ситуацию - клиентский роутер после добавления маршрута на интерфейс pptp стал видеть хосты внутри сети центрального офиса (впн-сервера), но клиенты в сети роутера-клиента пингуют только адрес pptp-интерфейса...в какую сторону стоит копать?
- Автор темы
- #9
1. Если не проходит ping, проверяйте tracert-ом.
2. Особое внимание установке маршрутов на роутерах, скорее всего вы их не установили:
"Следующий этап – настройка маршрутизации для VPN. Все пакеты на роутерах VPN клиентов с локальными адресами 192.168.*.* должны быть направлены в VPN-туннель в сторону сервера
. На сервере маршрутов должно быть три, по одному на каждый VPN-клиент:
"
2. Особое внимание установке маршрутов на роутерах, скорее всего вы их не установили:
"Следующий этап – настройка маршрутизации для VPN. Все пакеты на роутерах VPN клиентов с локальными адресами 192.168.*.* должны быть направлены в VPN-туннель в сторону сервера
. На сервере маршрутов должно быть три, по одному на каждый VPN-клиент:
"Аналогичная ситуация что и у пользователя "Tupolev-144", но с небольшими оговорками:
1. при установлении параметра "set vpn pptp remote-access outside-address" равного параметрам сети vpn-сервера (например 192.168.1.1) vpn-клиент не может подключиться. При установлении указанного параметра равного внешнего ip vpn-сервера все работает.
2. ping и tracer c роутера vpn-сервера до устройств сети vpn-клиента проходит, а с любого устройства сети vpn-сервера нет. При выполнении команды tracer-ра до устройств сети vpn-клиента маршрут проходит только до 192.168.1.1.
Подскажите пожалуйста в чем может быть проблема.
1. при установлении параметра "set vpn pptp remote-access outside-address" равного параметрам сети vpn-сервера (например 192.168.1.1) vpn-клиент не может подключиться. При установлении указанного параметра равного внешнего ip vpn-сервера все работает.
2. ping и tracer c роутера vpn-сервера до устройств сети vpn-клиента проходит, а с любого устройства сети vpn-сервера нет. При выполнении команды tracer-ра до устройств сети vpn-клиента маршрут проходит только до 192.168.1.1.
Подскажите пожалуйста в чем может быть проблема.