3km Posted May 31, 2019 Share #1 Posted May 31, 2019 Добрый день! Хочу подключить к домашней сети роутер на даче и иметь доступ из дома к устройствам на даче. Что имеем: Дома кабельный интернет с белым ip Роутер xiaomi mi3g c прошивкой padavan, проброшены порты до syno Xpnology с установленным пакетом vpn server с настроенным openvpn, На даче 4g интернет с серым ip Роутер xiaomi mi3g c прошивкой padavan. Сейчас соединение устанавливается, но нет доступа межлу сетями (из дома не вижу устройств на даче и на даче не вижу устройств дома). Помогите пожалуйста с настройкой Quote Link to comment Share on other sites More sharing options...
AlexFr Posted May 31, 2019 Share #2 Posted May 31, 2019 Добрый день! Хочу подключить к домашней сети роутер на даче и иметь доступ из дома к устройствам на даче. Что имеем: Дома кабельный интернет с белым ip Роутер xiaomi mi3g c прошивкой padavan, проброшены порты до syno Xpnology с установленным пакетом vpn server с настроенным openvpn, На даче 4g интернет с серым ip Роутер xiaomi mi3g c прошивкой padavan. Сейчас соединение устанавливается, но нет доступа межлу сетями (из дома не вижу устройств на даче и на даче не вижу устройств дома). Помогите пожалуйста с настройкой А на самом роутере нельзя впн сервер настроить?Объясню, откуда вопрос:Чтобы устройства на даче виделись, для дачной подсети шлюз/интерфейс должен указывать на впн интерфейс/адрес. В одном устройстве это можно сделать, изменив таблицу маршрутиризации. Если это разные устройства, то править придётся на клиенте. А я вот, например, не очень представляю, как то можно сделать на каком-нибудь айпаде. Хотя, конечно, можно в рауторе указать на НАС, но как-то это всё криво. Отправлено с моего iPhone используя Tapatalk Pro Quote Link to comment Share on other sites More sharing options...
3km Posted June 1, 2019 Author Share #3 Posted June 1, 2019 Я так и хотел сделать, взял 2 одинаковых роутера. Но на домашнем роутере процесс генерации ключей для openvpn не проходил нормально, по этому и начал сино мучать. Попробую опять с роутерами. Quote Link to comment Share on other sites More sharing options...
AlexFr Posted June 1, 2019 Share #4 Posted June 1, 2019 Я так и хотел сделать, взял 2 одинаковых роутера. Но на домашнем роутере процесс генерации ключей для openvpn не проходил нормально, по этому и начал сино мучать. Попробую опять с роутерами. Тогда так:На Синоним сделать адрес ВПН статическим. На роутере прописать маршрут для подсети дачи на этот адрес Сино. Отправлено с моего iPhone используя Tapatalk Pro Quote Link to comment Share on other sites More sharing options...
antihrist2002 Posted June 5, 2019 Share #5 Posted June 5, 2019 On 6/1/2019 at 9:15 AM, 3km said: Я так и хотел сделать, взял 2 одинаковых роутера. Но на домашнем роутере процесс генерации ключей для openvpn не проходил нормально, по этому и начал сино мучать. Попробую опять с роутерами. задача непростая и на мой взгляд выбор роутеров неверный. Я бы посоветовал Mikrotik. Какие устройства будут на даче и их количество? Камеры скорее всего... Нужно обязательно помнить, что любой VPN протокол на нестабильном канале (а 3Г/4г очень нестабильный) режет скорость на 50-90%. Если на даче не камеры, то зачем иметь доступ к устройствам? Нужно развернутое описание задачи. Скорее всего сделать доступ на прошивке от падавана получится. Ключи для OpenVPN можно сгенерировать и на компьютере. Просто потом подсунуть их роутеру. Quote Link to comment Share on other sites More sharing options...
tyzik Posted July 23, 2019 Share #6 Posted July 23, 2019 Добрый день. Настройки ВПН надо понимать: 1)можно сделать чтоб ВПН брал адресса из уже имеющегося пула адресов DHCP 2)можно настроить ВПН со своим пулом(или конкретный адрес), но тогда обязательно надо дописать таблицу маршрутизации с двух сторон По второму варианту организована сеть на Микротиках, никаких проблем. На ДСМ поставить VPN Server, но тогда для авторизации ВПН необходимо сделать проброс портов до сервера, и править таблицу маршутизации. Quote Link to comment Share on other sites More sharing options...
3km Posted December 4, 2019 Author Share #7 Posted December 4, 2019 Подниму тему еще раз. Связь с дачей нужна для передачи информации с датчиков температуры/движения итд, трафик небольшой. И еще, как получить доступ к домашней сети с iphone через vpn на syno? Quote Link to comment Share on other sites More sharing options...
AlexFr Posted December 4, 2019 Share #8 Posted December 4, 2019 Подниму тему еще раз. Связь с дачей нужна для передачи информации с датчиков температуры/движения итд, трафик небольшой. И еще, как получить доступ к домашней сети с iphone через vpn на syno? В домашней сети только один компьютер My PC? И ещё принципиальный вопрос:Нужна надежность, или просто побаловаться? Отправлено с моего iPhone используя Tapatalk Pro Quote Link to comment Share on other sites More sharing options...
Olegin Posted December 4, 2019 Share #9 Posted December 4, 2019 @3km дык, в самом сино есть vpn сервер, поднимите и цепляйтесь и с дачи и с фони. Quote Link to comment Share on other sites More sharing options...
3km Posted December 4, 2019 Author Share #10 Posted December 4, 2019 В домашней сети (где стоит Syno) примерно 30 устройств. Картину привёл для примера , вместо MyPC будет iPhone. С vpn сервером На syno проблем нет, я к нему подцепляюсь, но не вижу устройства в сети. (Всё как на картинке и ссылке в предыдущем посте) Quote Link to comment Share on other sites More sharing options...
AlexFr Posted December 4, 2019 Share #11 Posted December 4, 2019 В домашней сети (где стоит Syno) примерно 30 устройств. Картину привёл для примера , вместо MyPC будет iPhone. С vpn сервером На syno проблем нет, я к нему подцепляюсь, но не вижу устройства в сети. (Всё как на картинке и ссылке в предыдущем посте)Интерес впн должен быть частью локальной сети. Либо надо настраивать роутинг и правила фаервола (если он есть). Видать, придётся на своём впн заводить))Отправлено с моего iPhone используя Tapatalk Pro Quote Link to comment Share on other sites More sharing options...
3km Posted December 4, 2019 Author Share #12 Posted December 4, 2019 я нашел на форуме Syno, но как это сделать не знаю меня бы устроил вариант "I I. Простой варинт VPN", но как это сделать? Общая информация 1. Главным источником знаний является статья "Настраиваем VPN" 2. VPN-сервер DS211+ может обслужить только 3 или 5 VPN-клиентов 3. VPN-сервер DS211+ при любых настройках выделяет себе адрес с "0" в конце: 192.168.1.0 – НЕ ВСЕГДА ! 4. После установления VPN канала поиск доступных компьютеров в Локальной сети осуществляется с помощью Поиска в Проводнике 5. Выход к интерфейсам управления VPN- и DHCP-серверов осуществляется с помощью IExplorer 6. Запись диапазона адресов 192.168.1.0-255 полностью идентична записи: 192.168.0.0/24 или 192.168.0.0 с маской 255.255.255.0 7. Скорость скачивания файлов при VPN (PPTP) составляет ~ 50 кбит/с (Awanty -> SkyLink) 8. Удаленный VPN-клиент видит Локальнных DHCP-клиентов только по IP адресам, т.е. путь \\192.168.0.101 будет работать, а \\Server - нет. Способы решения данной проблемы: 1. Если Локальная сеть имеет доменную структуру, достаточно указать DNS-сервером для VPN подключения DNS-сервер контроллера домена. Воспользуйтесь опцией ms-dns в /etc/ppp/pptpd-options сервера и данные настройки будут получены клиентом автоматически 2. Если DNS-сервер в локальной сети отсутствует, то можно создать и использовать WINS-сервер, информацию о нем также можно автоматически передавать клиентам при помощи опции ms-wins 3. Если удаленных клиентов немного, можно использовать на клиентских ПК файлы hosts (C:\Windows\System32\drivers\etc\hosts), куда следует добавить строки вида: 192.168.0.101 Server По одной для каждого ПК в локальной сети к ресурсам которого требуется доступ. 9. При подключении обычного VPN соединения основной шлюз будет указан для VPN сети, то есть интернет на клиентской машине пропадет или будет использоваться через подключение в удаленной сети. Понятно, что это как минимум неудобно, а в ряде случаев способно привести к двойной оплате трафика (один раз в удаленной сети, второй раз в сети провайдера). Для исключения этого момента в свойствах VPN соединения на закладке "Сеть" в свойствах протокола "TCP/IPv4" нажимаем кнопку "Дополнительно" и в открывшемся окне снимаем галочку "Использовать основной шлюз в удаленной сети" 10. Сети DHCP-сервера DS211+ , VPN-сервера DS211+ (OpenVPN) и VPN-сервера DS211+ (PPTP) не должны пересекаться. А если это необходимо (см. II. Простой варинт VPN), то вначале устанавливаются VPN-сервера, а потом расширяется DHCP-сервер 11. Для проверки видимости Компьютера рекомендуется его пинговать 12. PPTP значительне уязвимее, нежели OpenVPN Исходные настройки VPN 1. VPN-сервер DS211+ стоит за NАТ-маршрутизатором DHCP-сервером Aura и имеет локальный адрес 192.168.0.101 2. DHCP-сервер Aura выделяет Локальнным DHCP-клиентам адреса в диапазоне 192.168.0.0-255 3. VPN-сервер DS211+ (OpenVPN) выделяет Удаленным VPN-клиентам адреса в диапазоне 192.168.1.0-255, так как адрес 192.168.0.0 уже занят, а детализировать диапазон нет возможности 4. VPN-сервер DS211+ (PPTP) выделяет Удаленным VPN-клиентам адреса в диапазоне 192.168.2.0-255, как адреса 192.168.0.0 и 192.168.1.0 уже заняты, а детализировать диапазон нет возможности I. Простейший варинт VPN (удаленный доступ к VPN-серверу без маршрутизации) 1. Ничего делать не надо 2. Удаленные VPN-клиенты видят VPN-сервер DS211+ 3. Удаленные VPN-клиенты не видят Локальнных DHCP-клиентов 4. Локальнные DHCP-клиенты не видят Удаленных VPN-клиентов I I. Простой варинт VPN (удаленный доступ ко всей локальной сети без маршрутизации) 1. Для вовлечения в Локальную сеть Удаленных VPN-клиентов расширяем Локальную сеть, т.е. DHCP-сервер Aura перенастраиваем с параметрами 192.168.0.0/23 (т.е. маска 255.255.254.0). См. п.11 Общей информации 2. В этом случае Удаленные VPN-клиенты становятся видны в сети под своими VPN адресами, а Локальные клиенты в свою очередь могут видеть Удаленных VPN-клиентов 3. Это вариант настроек самый простой и не позволяет ограничить доступ Удаленных VPN-клиентов в Локальную сеть, т.к. не требует настройки маршрутизации 4. Удаленные VPN-клиенты видят Локальнных DHCP-клиентов 5. Локальнные DHCP-клиенты видят Удаленных VPN-клиентов III. Сложный варинт VPN (удаленный доступ ко всей локальной сети с маршрутизацией) 1. Выполняем маршрутизацию для доступа Удаленного VPN-клиента к Локальным DHCP-клиентам, учитывая, что локальный адрес Шлюза равер адресу самог VPN-клиента, который он получил от VPN-сервера: 'Запускается на Удаленном VPN-Клиенте в командной строке IPConfig 'Выясняем последние цифры XXX IP Удаленного VPN-Клиента Pause Route add 192.168.0.0 mask 255.255.255.0 192.168.1.XXX 'для OpenVPN Route add 192.168.0.0 mask 255.255.255.0 192.168.2.XXX 'для PPTP 2. Выполняем маршрутизацию для доступа Локального DHCP-Клиента к Удаленным VPN-клиентам: 'Запускается на Локальном DHCP-Клиенте в командной строке Route add 192.168.1.0 mask 255.255.255.0 192.168.0.101 'для OpenVPN Route add 192.168.2.0 mask 255.255.255.0 192.168.0.101 'для PPTP 3. Удаленный VPN-клиент видит Локальнных DHCP-клиентов 4. Локальнный DHCP-клиент видит Удаленных VPN-клиентов Оставшиеся вопросы 1. Каким образом в вар.III можно ограничивать доступ, если команды выполняются на Клиенте 2. Каким образом на DS211+ поднять WINS-Сервер Обозначение Хостов, Масок и Сетей 192.168.0.10 – это адрес, например одного из Хостов в Сети 255.255.255.0 – это Маска длиною в 24 бита (3 байта), необходимая для указния диапазона сети 192.168.0.0/24 – это диапазон адресов Сети, полученный в результате логиского "И" адреса любого из Хостов сети и Маски сети длиной в 24 бита (3 байта): 192.168. 0.10 – адрес одного из Хостов в сети 255.255.255. 0 – Маска сети 192.168. 0. 0 – адрес Сети т.е. 192.168.0.0/24 = 192.168.0.0-255 или например: 192.168.0.0/23 = 192.168.0.0-255 и 192.168.1.0-255 Команды на прописывание статических маршрутов Для доступа клиентских ПК из одной подсети в другую нам потребуется прописать на них статические маршруты. Делается это следующим образом: - Отключите VPN-соединение, если оно у вас поключено. - Откройте окно с командной строкой. Для этого нажмите кнопку "Пуск" в панели задач, выберите пункт "Все программы", затем "Стандартные", затем "Командная строка". - Наберите команду ipconfig ("Настройка протокола IP для Windows") и нажмите клавишу "ENTER". В окне будет выведена информация о настройках IP-протокола. Запомните IP-адрес основного шлюза. - Теперь можно вводить команды. Мы будем использовать запись вида: X.X.X.X mask Y.Y.Y.Y Z.Z.Z.Z ,где X.X.X.X сеть, Y.Y.Y.Y маска сети, Z.Z.Z.Z шлюз. Это удобно интерпретировать так: Дается указание пойти на локальный Шлюз Z.Z.Z.Z, а с него в направлении Сети X.X.X.X с маской Y.Y.Y.Y Добавить маршрут в среде Windows можно командой: route add X.X.X.X mask Y.Y.Y.Y Z.Z.Z.Z Действие данных команд сохраняется до перезагрузки и поэтому если вы что-то сделали не так, перезагрузите ПК и попробуйте снова. Убедившись что все работает нужно добавить маршруты на постоянной основе. В Windows это делается добавлением к команде ключа -p: route add X.X.X.X mask Y.Y.Y.Y Z.Z.Z.Z -p ПРИМЕЧАНИЕ: - Для справки можно использовать команду: Route /? Добавить маршрут в среде Linux можно командой: route add -net X.X.X.X netmask Y.Y.Y.Y gw Z.Z.Z.Z Quote Link to comment Share on other sites More sharing options...
XPEH Posted December 5, 2019 Share #13 Posted December 5, 2019 8 hours ago, 3km said: В домашней сети (где стоит Syno) примерно 30 устройств. Картину привёл для примера , вместо MyPC будет iPhone. С vpn сервером На syno проблем нет, я к нему подцепляюсь, но не вижу устройства в сети. (Всё как на картинке и ссылке в предыдущем посте) Routing между 192.168.10.0 и 192.168.1.0 сетями обеспечивается самим сино-VPN сервером (OpenVPN?, не PPTP). На удаленном устройстве MyPC, при подключении, организуется тн Split Tunnel. Все пакеты к 192.168.10.0 сети идут через VPN, а остальное напрямую в Интернет. Вам нужна статически направить пакеты к сети 192.168.1.0 тоже через VPN. Это настраивается на удаленом MyPC в зависимости от клиента и операционной системы. Quote Link to comment Share on other sites More sharing options...
3km Posted December 5, 2019 Author Share #14 Posted December 5, 2019 21 час назад, XPEH сказал: Routing между 192.168.10.0 и 192.168.1.0 сетями обеспечивается самим сино-VPN сервером (OpenVPN?, не PPTP). Используется OpenVPN 21 час назад, XPEH сказал: На удаленном устройстве MyPC, при подключении, организуется тн Split Tunnel. Все пакеты к 192.168.10.0 сети идут через VPN, а остальное напрямую в Интернет. Вам нужна статически направить пакеты к сети 192.168.1.0 тоже через VPN. Это настраивается на удаленом MyPC в зависимости от клиента и операционной системы. В качестве удаленного PC используется iphone, можно ли как то его настроить? Quote Link to comment Share on other sites More sharing options...
XPEH Posted December 5, 2019 Share #15 Posted December 5, 2019 17 minutes ago, 3km said: В качестве удаленного PC используется iphone, можно ли как то его настроить? Не уверен. И не использую iPhone как OpenVPN клиент. Поищите что-то на тему статических маршрутов в iPhone и VPN. Quote Link to comment Share on other sites More sharing options...
3km Posted December 8, 2019 Author Share #16 Posted December 8, 2019 Решил проблему следующим образом в настройках роутера в домашней сети (где стоит Syno) Изменил настройки DHCP-сервера с параметрами 192.168.0.0/23 (т.е. маска 255.255.254.0). Все! теперь у клиентов vpn есть доступ ко внутренним сетевым ресурсам без доп настроек на клиенте. 1 Quote Link to comment Share on other sites More sharing options...
coollogin Posted March 26, 2021 Share #17 Posted March 26, 2021 Столкнулся с похожей задачей: На Synology настроил VPN, роутером к нему подключаюсь, но устройств из удаленной сети не пингуются =( Подозреваю, что это из-за разных LAN портов. Никак не могу понять где и какие маршруты прописать, чтобы из Home можно было получить доступ к рабочей локальной сети (Work). Quote Link to comment Share on other sites More sharing options...
sotaka Posted March 26, 2021 Share #18 Posted March 26, 2021 Ключевая ошибка здесь - настроить VPN нас Synology. Более чем 2 подсети. Quote Link to comment Share on other sites More sharing options...
coollogin Posted March 26, 2021 Share #19 Posted March 26, 2021 Так у него же два лан порта. Наоборот думал - хорошо, что один порт с белым ip в интернет смотреть будет, а другой в локальную сеть. Quote Link to comment Share on other sites More sharing options...
XPEH Posted March 26, 2021 Share #20 Posted March 26, 2021 On 3/26/2021 at 1:39 PM, coollogin said: Так у него же два лан порта. Наоборот думал - хорошо, что один порт с белым ip в интернет смотреть будет, а другой в локальную сеть. Это было бы хорошо для роутера-фаервола. В DSM такой функции нет. Есть в роутерах от Синоложи, но их мы не рассматриваем. В вашeм случае, поставьте сино за роутером с пробросом на него портов для VPN. OpenVPN работает лучше и настроить легче чем L2TP/IPSec. 2 Quote Link to comment Share on other sites More sharing options...
sotaka Posted March 27, 2021 Share #21 Posted March 27, 2021 11 час назад, XPEH сказал: Это было бы хорошо для роутера-фаервола. В DSM такой фунции нет. Есть в роутерах от Синоложи, но их мы не рассматриваем. В вашeм случае, поставьте сино за роутером с пробросом на него портов для VPN. OpenVPN работает лучше и настроить легче чем L2TP/IPSec. 12 часа назад, coollogin сказал: Так у него же два лан порта. Наоборот думал - хорошо, что один порт с белым ip в интернет смотреть будет, а другой в локальную сеть. Поддерживаю. Только OpenVPN требователен к железу и на роутерах вряд ли будет хорошая скорость тоннеля. Я поднимал виртуальный роутер pfsense в DSM, но поскольку у меня машинка слабенькая, всё упёрлось в неё и я выше 20 Мбит/с не добился. Может ещё потому что это виртуалка, DSM режет её. На официальном форуме кто-то делал это на отдельной старой железке, похожей на мою. Вот там, говорят, "соточка" была легко, по OpenVPN. Я думаю что это идеальный вариант, если нужны скорость и хорошая масштабируемость. 1 Quote Link to comment Share on other sites More sharing options...
coollogin Posted March 27, 2021 Share #22 Posted March 27, 2021 Спасибо большое за помощь! Раньше так и было - нас стоял за роутером и всё работало, но думал будет лучше, если к нему напрямую доступ в интернет выделить (с белым ip и без пробросать портов). И смысл тогда от второго lan порта? Не понятно. Касательно OpenVPN - у меня keenetic, там такая возможность есть, но, вроде, L2TP/IPSec более защищенное соединение, поэтому его выбрал + для win и mac отдельная прога нужна для его подключения, что не очень удобно. Буду тогда всё возвращать обратно. Quote Link to comment Share on other sites More sharing options...
Amoureux Posted March 27, 2021 Share #23 Posted March 27, 2021 (edited) 18 часов назад, XPEH сказал: OpenVPN работает лучше и настроить легче чем L2TP/IPSec. У меня роутер кинетик. Xpenology стоит за роутером. На роутере поднят vpn сервер с ipsec. OsX и windows подключаются штатными средствами к роутеру по впн, и имеют доступ в локальную сеть. К тому же у кинтетика поддержка vpn/ipsec хорошо реализована и шифруется все аппаратно, так что роутер вообще не нагружается. Учитывая, что белый ip уже есть, то никаких проблем с поднятием vpn сервера с ipsec не будет на роутере. Edited March 27, 2021 by Amoureux Quote Link to comment Share on other sites More sharing options...
coollogin Posted March 27, 2021 Share #24 Posted March 27, 2021 4 минуты назад, Amoureux сказал: У меня роутер кинетик. Xpenology стоит за роутером. На роутере поднят vpn сервер с ipsec. OsX и windows подключаются штатными средствами к роутеру по впн, и имеют доступ в локальную сеть. К тому же у кинтетика поддержка vpn/ipsec хорошо реализована и шифруется все аппаратно, так что роутер вообще не нагружается. Учитывая, что белый ip уже есть, то никаких проблем с поднятием vpn сервера с ipsec не будет на роутере. Это дома у меня кинетик, поэтому на нем vpn клиент настроил, а на работе totolink, у него такого функционала нет =( Поэтому vpn server пришлось настраивать на Xpenolgy. Сейчас к нему подключаюсь и по L2TP, и по OpenVPN, но удаленная локальная сеть не пингуется. Quote Link to comment Share on other sites More sharing options...
Amoureux Posted March 27, 2021 Share #25 Posted March 27, 2021 (edited) 15 минут назад, coollogin сказал: Это дома у меня кинетик, поэтому на нем vpn клиент настроил, а на работе totolink, у него такого функционала нет =( Поэтому vpn server пришлось настраивать на Xpenolgy. Сейчас к нему подключаюсь и по L2TP, и по OpenVPN, но удаленная локальная сеть не пингуется. Погоди, дома роутер кинетик с локальной сетью за ним, на котором поднят клиент для впн. На работе тотолинк, к которому подключен xpenology nas с сервером впн/ipsec. Что откуда должно пинговаться? Edited March 27, 2021 by Amoureux Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.