Переадресація портів з інтернет-каналу VPN-сервера у віддалену локальну мережу за VPN-клієнтом
Існує KeeneticHero (локальна мережа 192.168.1.0/24) з доступом до Інтернету через публічну WAN IP-адресу, на якому увімкнено PPTP VPN-сервер. В іншому місці знаходиться KeeneticCarrier (локальна мережа 192.168.2.0/24), підключений до Інтернету з приватною IP-адресою через іншого Інтернет-провайдера. Між KeeneticHero та Carrier встановлено PPTP VPN-тунель.
Як отримати доступ до веб-інтерфейсу віддаленого Keenetic Carrier або іншого хосту в локальній мережі, що знаходиться за VPN-тунелем, з Інтернету, використовуючи публічну WAN IP-адресу KeeneticHero? Як налаштувати переадресацію портів з WAN-інтерфейсу Keenetic Hero до локальної мережі за Keenetic Carrier?
1. Маршрутизатор Keenetic Hero підключається до Інтернету через інтерфейс Інтернет-провайдера з публічною WAN IP-адресою.
2. У Keenetic необхідно ввімкнути механізм NAT для клієнтів у налаштуваннях VPN-сервера (у меню Додатки > PPTP VPN-сервер), вимкнути опцію Багаторазовий вхід, щоб використовувати одне підключення на користувача, та зареєструвати статичну IP-адресу для клієнта Keenetic Carrier.
3. Вам також потрібно додати статичний маршрут у меню Маршрутизація до підмережі 192.168.2.0/24 через IP-адресу, яку ми зарезервували на попередньому кроці (у нашому прикладі це IP-адреса 172.16.1.33).
4. На Keenetic Carrier вам потрібно налаштувати PPTP-підключення до VPN-сервера на Keenetic Hero в меню Інші підключення та обов'язково встановити прапорець Використовувати для виходу в Інтернет.
Важливо
Оскільки в маршрутизаторі буде встановлено прапорець Використовувати для виходу в Інтернет, а інтерфейс PPTP матиме вищий пріоритет, ніж інтерфейс місцевого провайдера, увесь трафік за замовчуванням проходитиме через VPN-тунель.
Якщо вам потрібно залишити доступ до Інтернету через місцевого провайдера на Keenetic Carrier, вам потрібно буде зареєструвати статичні маршрути через інтерфейс PPTP для всіх клієнтів, які будуть використовувати переадресацію портів (будуть використовувати доступ до віддалених хостів). Для цього потрібно знати їхні IP-адреси. Наприклад, ми будемо отримувати доступ до відкритих портів з віддаленого хосту, який має IP-адресу в Інтернеті 95.211.169.65. У цьому випадку, щоб переадресація портів працювала на Keenetic Carrier, який є PPTP-клієнтом, вам потрібно зареєструвати маршрут до цього хосту (з IP-адресою 91.211.169.65) у меню Маршрутизація та додати маршрут через інтерфейс PPTP.
5. Також, щоб трафік проходив через інтерфейс PPTP, вам потрібно дозволити його в меню Міжмережевий екран.
6. Після цього в налаштуваннях Keenetic Hero вам потрібно налаштувати правило переадресації портів на віддалену підмережу в меню Переадресація портів. У нашому прикладі ми перенаправимо зовнішній порт 888 на локальну IP-адресу та порт 80 Keenetic Carrier для доступу до його веб-інтерфейсу.
Після цього налаштування ви зможете отримати доступ до публічної WAN IP-адреси маршрутизатора Keenetic Hero через порт 888 (http://193.0.x.x:888) з Інтернету, щоб отримати доступ до веб-інтерфейсу віддаленого Keenetic Carrier, розташованого за VPN. Аналогічно можна переадресувати порт на будь-який хост у віддаленій локальній мережі, що знаходиться за VPN-тунелем.
Примітка
Опція Використовувати для виходу в Інтернет вмикає на пристрої маршрут за замовчуванням через PPTP-тунель. На маршрутизаторах можливий лише один (безумовний) маршрут за замовчуванням. Якщо це налаштування не встановлено, відповіді на запити, переадресовані з сервера через тунель, будуть надсилатися клієнтом через WAN-інтерфейс. Це призведе до проблеми "трикутного маршруту". Щоб уникнути цього, не призначаючи серверу маршрут за замовчуванням через тунель, ви можете налаштувати статичну маршрутизацію, якщо відомі IP-адреси хостів, з яких надходять запити до клієнтської мережі. Для них потрібно створити маршрути через інтерфейс PPTP-тунелю. Цю схему можна реалізувати, підключивши до сервера професійне обладнання.