Drugi router w sieci - pomoc w konfiguracji

[sparks 0]

Hej potrzebuję pomocy w konfiguracji routera.

 

Poprzednio miałem tak:

Router A - główny router, z niego wychodzi komunikacja na zewnątrz sieci, do niego podpinam wszystkie sprzęty, IP 192.168.0.1.

Router B - skonfigurowany do łączenia się z siecią VPN po pptp, podłączony do routera A, IP 192.168.1.1.

 

Teraz sprzęt (niech będzie to sprzęt X), którego ruch zewnętrzny (ruch "do internetu") ma być przez VPN, był podłączony do routera A, jako bramę miał zewnętrzny adres routera B (192.168.0.2) i serwer DNS taki jaki pokazywał się w panelu administracyjnym routera B po ustanowieniu połączenia z siecią VPN.

Dzięki temu miałem dostęp lokalny do sprzętu po różnych protokołach (FTP, http) a ruch zewnętrzny odbywał się przez sieć VPN.

 

Przyszedł czas na małą modernizację routera B z linksysa wrt54gl na tp link wr841n. Zmieniłem bo linksys zrywał mi połączenie - chyba się uszkodził po latach pracy.

 

I tutaj jest problem. Po ustawieniu połączenia pptp na nowym tplinku jako router B, nie mogę przekierować przez niego ruchu. Jeżeli podepnę do niego sprzęt X - wszystko działa, lecz nie mam dostępu po protokołach ftp czy http. Możliwe, że trzeba przekierować porty, lecz łatwiej mi było w sytuacji, gdy sprzęt X był podpięty do routera A a nie B.

 

Postawiłem na routerze nawet ddwrt i dalej to samo. Co muszę włączyć lub wyłączyć w ustawieniach żeby to działało jak na początku?

Proszę wybaczyć mi brak technicznej terminologii. Niestety nie znam się aż tak na sieciach .

Edytowane 2 Września 2019 przez sparks

[SeN81 34]

Po co ci oddzielny router do VPN? nie możesz odpalić VPN na głównym routerze.

[sparks 0]

Niestety mój router główny (TP-Link archer c1200 V2) nie obsługuje izolacji jednego IP i kierowania jego ruchu po VPN. Niestety dopiero po zakupie zorientowałem się, że również nie ma dla niego systemu DD-WRT. Więc jedyne wyjście w tej sytuacji to dodatkowy router jako klient sieci VPN i pchanie konkretnego ruchu przez niego.

[SeN81 34]

Nie bardzo rozumiem co masz na myśli pod stwierdzeniem " nie obsługuje izolacji jednego IP i kierowania jego ruchu po VPN." Jaki adres IP chcesz izolować i od czego ? C1200 obsługuje m.in. OpenVPN więc zestawiając połączenie VPNowe będziesz miał dostęp do całej swojej sieci wewnętrznej.No chyba że chcesz aby przez VPN dostęp był tylko do jednego IP i chcesz to osiągnąć chowając ten adres za drugim routerem. Jeśli tak to to co musisz zrobić to przekierować port na którym działa VPN na adres drugiego rutera, ale adres zewnętrzny tego routera a nie adres jego sieci wewnętrznej. Czyli jak pierwszy router ma np adres 192.168.0.1 to dla drugiego routera ustawiasz adres zewnętrznych na 192.168.0.2 a adres wewnętrzny, czyli w sieci która on tworzy, na 192.168.1.1 a komp który będzie udostępniał usługi będzie miał np. 192.168.1.10. I na drugim routerze uruchamiasz VPNa a na pierwszym routerze tworzysz przekierowanie portu.

 

Osobiście sprzedałbym tego TP-linka dołożył trochę i kupił Mikrotika hAP ac2.

[sparks 0]

Przekazałem za mało informacji. Chcę schować ruch jednego hosta za VPN a pozostałe będą komunikować się "normalnie". Niestety mogę wykorzystać tylko połączenie PPTP - ot takie ograniczenie serwera, z którego korzystam. Dlatego wydaje mi się, że muszę mieć drugi router. Gdybym na głównym ustanowił połączenie z VPN to cały ruch poszedłby na VPN, szybko wyczerpałbym limit transferu i w efekcie brak sieci.

 

Dlatego wstawiłem drugi router, który łączy się z VPN. Wszystko mi hulało na oficjalnym sofcie linksysa wrt54gl. W ustawieniach jednego sprzętu był adres ip np. 192.168.0.10 (fizycznie był wpięty do głównego routera) brama na router nr2 192.168.0.2 i DNS VPN'a. Nie przekierowywałem portów, nie tworzyłem tras routingu. Jedynie co, to w głównym routerze musiałem ustawić VPN PPTP passthrough.

 

Wszystko działało do zmiany routera i tu już moja wiedza się skończyła.

[SeN81 34]

Utworzenie tunelu VPN na pewno nie spowoduje puszczenie całego ruchu przez ten tunel. Owszem da się coś takiego wykonać odpowiednio ustawiając trasy ale na pewno nie jest to domyślne zachowanie. Przez tunel idzie tylko ruch do adresów które są za tunelem. Czyli przykładowo jeśli za tunelem masz podsieć 192.168.10.x to przez tunel idzie tylko ruch do adresów z tej podsieci , natomiast jeśli chcesz wejść na pclaba to ruch idzie normalnie przez bramę gdyż dla tunelu będzie to nieznany adres.

Ustaw sobie tunel PPTP na tym tp-linku i odpal komendę tracert to będziesz widział czy ruch idzie przez tunel czy nie. Tunel PPTP możesz też sobie zestawić bezpośrednio w windowsie.

[sparks 0]

Chyba pozostanę przy układzie gdzie urządzenie, które chcę schować za VPN jest podpięte do routera nr2 a router nr2 do głównego. Przekierowałem już niektóre porty i działa mi serwer FTP. Zabawa z wymuszeniem kierowania ruchu na router nr2 gdy urządzenie podpięte jest do routera nr1 jest już dla mnie za trudna.

 

Teraz mam tylko pytanie:

 

Router ma panel zarządzania na adresie 192.168.0.2 (wiadomo port 80). Sprzęt w podsieci też ma panel administracyjny na porcie 80. Jeżeli dokonam przekierowania portu 80 na adres w podsieci to czy nie wyniknie tu jakiś konflikt?

Edytowane 6 Września 2019 przez sparks

[SeN81 34]

To zmień port panelu na dowolny inny nie zajęty np 8080. Taka opcja powinna być w ustawieniach administracyjnych.