Підключення більше двох мереж за допомогою PPTP VPN-сервера
Розглянемо приклад підключення 4 віддалених локальних мереж через сервер PPTP VPN. Кожна мережа має доступ до Інтернету. Налаштування будуть ідентичними для сервера L2TP/IPsec VPN та SSTP VPN, оскільки логіка, що використовується в Keenetic, є однаковою для цих серверів.
Важливо
Keenetic Маршрутизатор, на якому працюватиме PPTP VPN-сервер, повинен бути підключений до Інтернету з публічною IP-адресою. При використанні KeenDNS доменного імені, воно має бути налаштоване в режимі Прямий доступ, для якого також потрібна публічна IP-адреса. Якщо ці умови не виконані, підключитися до такого сервера з Інтернету буде неможливо.
Нехай LAN 1 підключена до Інтернету через публічну IP-адресу, що знаходиться за маршрутизатором із PPTP-сервером. Кожна мережа LAN 2-4 підключатиметься до VPN-сервера за допомогою PPTP-з'єднання. Основне завдання — забезпечити доступ між усіма мережами LAN 1-4, що об'єднуються.
У цьому прикладі «головний маршрутизатор» (з PPTP VPN-сервером) буде VPN-концентратором. Усі PPTP-з'єднання будуть встановлені з ним, і буде виконуватися маршрутизація між усіма підключеними підмережами. У налаштуваннях головного маршрутизатора створіть стільки облікових записів користувачів із правами доступу до VPN-сервера, скільки ви плануєте до нього підключити (у нашому прикладі для трьох віддалених підмереж створено три облікові записи – net_2, net_3 та net_4).
Нехай VPN-сервер надає кожному клієнту наступні IP-адреси: 172.16.1.2, 172.16.1.3 та 172.16.1.4 відповідно (зверніть увагу, що ці IP-адреси належать до однієї підмережі). Щоб налаштувати VPN-сервер, перейдіть на сторінку Додатки.
Статичні маршрути на головному маршрутизаторі (з VPN-сервером) включатимуть такі записи: для кожної мережі, що приєднується, за винятком «Домашнього сегмента» самого сервера, ви повинні вказати IP-адресу, виділену відповідному користувачеві VPN-сервером, як адресу шлюзу. Налаштуйте статичні маршрути на сторінці Маршрутизація.
Важливо
Усі підключені віддалені підмережі (а також пул IP-адрес на VPN-сервері) не повинні мати однакових або адресних просторів, що перетинаються.
При налаштуванні пристроїв для роботи за цією схемою ми рекомендуємо змінити адресацію в мережі за замовчуванням (мережа 192.168.1.0/24), взявши число в третьому октеті IPv4-адреси як порядковий номер мережі, тобто LAN 2 — 192.168.2.0/24, LAN 3 — 192.168.3.0/24 і т. д. З 24-бітною маскою ці мережі не перетинаються і містять достатню кількість адрес для хостів локальної мережі.
Нижче наведено налаштування підключення до сервера PPTP та маршрутизації на клієнтських VPN-пристроях, показаних на схемі вище, зліва направо.
Налаштування VPN-клієнта з LAN 2 (192.168.2.0/24)
У полі Адреса сервера введіть публічну статичну WAN IP-адресу головного маршрутизатора або його доменне ім’я KeenDNS (у цьому випадку в налаштуваннях сервера KeenDNS потрібно використовувати режим Прямий доступ, для якого також потрібна публічна IP-адреса).
Два маршрути вказують на розташування мережі LAN 3:
Для зв'язку з підмережею LAN 4 вам потрібно буде вказати такі маршрути:
Налаштування VPN-клієнта з LAN 3 (192.168.3.0/24):
Наступні маршрути забезпечать зв'язок з мережею LAN 2:
Для зв'язку з мережею LAN 4 вкажіть такі маршрути:
Налаштування VPN-клієнта з LAN 4 (192.168.4.0/24):
Для зв'язку з мережею LAN 2 необхідно додати такі маршрути:
Для зв'язку з мережею LAN 3 необхідно додати такі маршрути:
Важливо
Після додавання маршруту він не запрацює одразу; вам потрібно буде повторно підключити VPN-тунель. Відключіть VPN-з'єднання, а потім налаштуйте його знову.
Примітка
1. Рекомендується не вмикати опцію Використовувати для виходу в Інтернет при налаштуванні підключень до VPN-сервера в цій схемі, оскільки це усуває необхідність вручну вказувати налаштування маршрутизації до мережі за сервером. Якщо ви не встановите цей прапорець, маршрути до мережі за сервером будуть автоматично надіслані на Keenetic клієнтський пристрій.
2. З цими налаштуваннями комп’ютери та інші хости в будь-якій із мереж, підключених до VPN-сервера, будуть доступні в кожній мережі за IP-адресою. Оскільки кожна з підключених мереж використовує відмінну від інших підмережу, виявлення пристроїв у мережі Windows за іменем комп'ютера не працюватиме.
3. Оскільки на інтерфейсі PPTP-клієнта за замовчуванням увімкнено міжмережевий екран, що блокує всі вхідні з'єднання, вам потрібно буде відкрити потрібні порти/протоколи в налаштуваннях клієнтського маршрутизатора. На сторінці Міжмережевий екран потрібно створити відповідні правила, що дозволяють вхідні з'єднання через будь-який протокол (достатньо буде відкрити доступ за протоколом IP). Наприклад, правило для маршрутизатора LAN 3 виглядатиме так:
4. Якщо ви встановили VPN-з'єднання, але ping проходить тільки до віддаленого маршрутизатора і не доходить до комп'ютерів у віддаленій мережі, то, швидше за все, Міжмережевий екран Windows блокує трафік на комп'ютерах. Більш детальну інформацію можна знайти в статті 'Налаштування Міжмережевого екрану Windows для з'єднань із мережі за VPN-сервером'. Якщо ви намагаєтеся пінгувати комп'ютер за його IP-адресою, переконайтеся, що комп'ютер не блокує вхідні з'єднання (за замовчуванням Міжмережевий екран Windows блокує ICMP-запити). Спробуйте пінгувати ще раз, вимкнувши блокування.