Как настроить VPN в другой подсети

Question

Предположим, у нас есть следующая конфигурация:

Когда я настраиваю свою роль VPN в Windows Server для выделения IP-адресов VPN-клиентам в диапазоне от 192.168.1.10 до 192.168.1.20, все работает нормально.

Однако, когда я хочу изолировать VPN-клиентов в другой подсети (например, 192.168.2.0/24), я не знаю, как действовать дальше. Соединение с VPN-сервером работает нормально, мой VPN-клиент получает адрес 192.168.2.2, например, и может пропинговать сервер по адресу 192.168.1.2, но не может видеть другие машины в 192.168.1.0/24 и может ' хотя не могу достучаться до интернета.

Я знаю, что должен где-то добавить какой-то статический маршрут, но я не вижу где. Любой указатель?

Answer 1

Ваш интернет-маршрутизатор ничего не знает о сети 192.168.2.0, как и другие хосты, так как их маршрутизатор является интернет-маршрутизатором.

Добавьте маршрут к интернет-маршрутизатору, сказав, что 192.168.2.0/24 находится на 192.168.1.2. Вам также может потребоваться настроить NAT на маршрутизаторе, чтобы он также преобразовывал NAT в эту сеть. Некоторые делают это автоматически.

Теперь, если пользователь VPN хочет поговорить с 192.168.1.4, исходящий пакет отправится на сервер Windows, а затем прямо на 192.168.1.4. 1.4 не имеет маршрута для 192.168.2.x, поэтому отправит ответ на шлюз по умолчанию - 192.168.1.1. У этого есть маршрут к коробке Windows для 192.168.2.x, таким образом, ответ пойдет на сервер Windows, а затем пользователю VPN.

Существует вероятность того, что маршрутизатор не будет "маршрут шпильки" - то есть он не будет направлять пакет обратно из интерфейса, на котором он вошел.

Если это так, то вам нужно добавить ручной маршрут к каждому устройству в 192.168.1.x, говоря, что 192.168.2.x через сервер Windows.