Справка - Поиск - Участники - Войти - Регистрация
Полная версия: Ламерский вопрос про VPN
Частный клуб Алекса Экслера > Наши сети притащили
Dmitrik
12 октября 2016, 11:52
Проблема в непонимании мной способа использования технологии.

Есть домашний роутер с возможностью поднять на нем VPN-сервер. Что я хочу. Во-первых, нужно иметь доступ к сетевым шарам домашнего десктопа (в веб-интерфейсе прошивки в свойствах VPN есть соответствующий чекбокс и он включен), а во-вторых, нужно, находясь не в Украине, видиться украинским сайтам как локальный пользователь.

Я поднял VPN-сервер (PPTP) на роутере, и подключился к нему с лэптопа в Windows 10, т.е. создал VPN-соединение и приконектился к нему. И вполне успешно.

Но дальше не понимаю, что и как делать. Во-первых, как получить доступ к десктопу внутри моей частной сети, а во-вторых, как сделать так, чтобы интернет-трафик шел через это VPN-соединение, чтобы сайты считали меня местным. Сложность тестирования второго вопроса в том, что я и так в Украине и просто хочу подготовиться на будущее. smile.gif

Помогите понять, плиз. pray.gif
Chief
12 октября 2016, 15:21

Dmitrik написал: Во-первых, как получить доступ к десктопу внутри моей частной сети, а во-вторых, как сделать так, чтобы интернет-трафик шел через это VPN-соединение

Твой ВПН-сервер должен передавать новые маршруты, в том числе и дефолтовые. Как это сделать в твоем конкретном случае - извини, ты даже железо не назвал, да и я не совсеми устройствами знаком. На твою внутреннюю подсеть маршрут обязателен и, если роутер на типалинуксе - маскарадинг не забудь. Дальше список маршрутов, если это возможно, нужно продумывать. На эти сайты идем самостоятельно, на эти только через ВПН, где также настроен нат и маскарадинг. Для ОпенВПН, микротика и даже iptables я бы сразу написал примеры, но не имея инфы и, возможно, опыта по конкретным устройствам - только общие советы..smile.gif Да, маршруты можно забить банальным батником на подключаемом ноуте, при этом забить в этот батник само подключение и последовательность, но все решать тебе...smile.gif Советы дать смогу только после подробностей, да и то только когда смогу выйти. Но тут и без меня спецов хватит...smile.gif
Dmitrik
12 октября 2016, 16:41

Chief написал: Твой ВПН-сервер должен передавать новые маршруты, в том числе и дефолтовые. Как это сделать в твоем конкретном случае - извини, ты даже железо не назвал, да и я не совсеми устройствами знаком.

Роутер — ASUS RT-AC66U. VPN-серверов поддерживает 2 варианта: PPTP и OpenVPN. Я выбрал PPTP, поскольку он поддерживается Windows 10 из коробки, а для OpenVPN надо, вроде, клиент ставить, но это не так принципиально, могу и поставить, конечно.


На твою внутреннюю подсеть маршрут обязателен и, если роутер на типалинуксе - маскарадинг не забудь. Дальше список маршрутов, если это возможно, нужно продумывать. На эти сайты идем самостоятельно, на эти только через ВПН, где также настроен нат и маскарадинг. Для ОпенВПН, микротика и даже iptables я бы сразу написал примеры, но не имея инфы и, возможно, опыта по конкретным устройствам - только общие советы.. Да, маршруты можно забить банальным батником на подключаемом ноуте, при этом забить в этот батник само подключение и последовательность, но все решать тебе... Советы дать смогу только после подробностей, да и то только когда смогу выйти. Но тут и без меня спецов хватит...

Я ничего не понял. smile.gif А вот как раз принцип и хотелось бы понять.

Т.е. ну вот я установил соединение со своего лэптопа с VPN-сервером на роутере. Дальше что? Трафик пойдет через это соединение автоматически или надо где-то что-то прописать? И как через него получить доступ к сетевым шарам десктопа, стоящего за этим роутером?
Chief
13 октября 2016, 12:35

Dmitrik написал: но это не так принципиально, могу и поставить, конечно.

Не надо...smile.gif

Dmitrik написал: Т.е. ну вот я установил соединение со своего лэптопа с VPN-сервером на роутере. Дальше что?

Если честно, у меня небольшой головняк и до 10 ноября я читать мануалы не буду, чтоб четко расписать...
Но общие вещи объясню. Сеть твоего лэптопа и сеть компа, к которому ты подключаешься - должны отличаться.
Далее, маршрут на твою внутреннюю сеть должен идти через адрес твоего роутера (сервера впн), на нем должна стоять прокидка (нат) из подсети впн во внутреннюю на конкретный комп. Если сеть (внутренняя большая) и надо доступ ко многим уустройствам - легче их подключить к впн, тогда ни какой прокидки не потребуется. Просто фиксация адресов и дальше гуляешь как по локалке, но вроде это не твой случайsmile.gif
Теперь про гуляние по инету через это соединение. Роутер должен разрешать впн-клиенту ходить через него. Тот же нат и все. При подключении роутер (сервер впн) должен менять таблицу маршрутизации клиента, либо это надо делать с клиентской стороны.
Со стороны клиента это банальные route del route add. Со стороны сервера это тоже не сложно, но повторюсь - какое то время я мануалы по конкретному устройству читать просто не буду... Это не микротик или фря, где я все наизусть помню или в закладках все сохранено, потому я сразу могу дать ссылку...
Но, еще раз, сейчас грамотных спецов набежит, кто на этом собаку съел. И, думаю, даже тех, кто конкретно с этим роутером работал...smile.gif
GEK
13 октября 2016, 17:09
Мне кажется, ТСу проще держать в локалке некий постоянно включенный комп, на который через VPN заходить удаленно на десктоп (RDP, VNC, ....) и сёрфится с него.
Chief
13 октября 2016, 18:00

GEK написал: Мне кажется, ТСу проще держать в локалке некий постоянно включенный комп, на который через VPN заходить удаленно на десктоп (RDP, VNC, ....) и сёрфится с него.

А тебе не кажется, что ТС именно этот вопрос и задает?smile.gif Решений то много, но первоначальное - заходить в сеть... kos.gif
GEK
13 октября 2016, 18:06
"Я поднял VPN-сервер (PPTP) на роутере, и подключился к нему с лэптопа в Windows 10, т.е. создал VPN-соединение и приконектился к нему. И вполне успешно." Т.е. в локалку ТС попал.
Теперь надо узнать, что у него за десктоп, исходя из этого рассказать, как выяснить серый адрес десктопа и посоветовать удобный удаленный доступ к нему

А вообще может проще поставить на дектопе в локалке TeamViewer и не связываться с VPNами
Dmitrik
13 октября 2016, 19:36
Други, как бы это объяснить... Я софтово не понимаю что мне дальше делать с этим богатством. Куда тыкать, где смотреть. Т.е. ну вот установил я VPN-соединение. Что это для меня как пользователя означает, какие возможности дает и как ими воспользоваться?
Dmitrik
13 октября 2016, 19:40

GEK написал: Теперь надо узнать, что у него за десктоп, исходя из этого рассказать, как выяснить серый адрес десктопа и посоветовать удобный удаленный доступ к нему

Что именно про десктоп? ОС — Windows 10 Pro со свежими обновлениями. Подключен к роутеру по кабелю. В настройках DHCP на роутере ему дан конкретный постоянный внутрисетевой IP.

Не про десктоп. Внешний IP роутера у меня статический.

Как-то так.
Chief
13 октября 2016, 21:36

Dmitrik написал: Я софтово не понимаю что мне дальше делать с этим богатством.

Дим, я реально жду реальных советчиков с форума (у меня вот 10 минут до выезда на осмотр), потому и говорю про 10 ноября.
Почему не выбирать OpenVPN - клиент OpenVPN, который написан для винды не дает превышения скорости в 10 МБит. Это недостаток.
Реальные батники для того, чтоб ты сам управлял - я напишу за пару минут, но вот лезть в мануалы роутера для настройки нужного ната у меня просто нет желания...smile.gif
GEK
13 октября 2016, 22:22
Я думаю, надо попробовать с лаптопа вне квартиры и установленным VPN-соединением "пропинговать" десктоп (ping 192.168.1.15 например). Если запрос-ответ пройдут, то надо настраивать на десктопе удаленный доступ к консоли, затем можно будет заходить с лаптопа на рабочий стол и спокойно выдавать себя за резидента Одессы

Но проще всего поставить на десктоп и лаптоп программу TeamViewer и не связываться с VPN в принципе
Chief
15 октября 2016, 13:13

GEK написал: Но проще всего поставить на десктоп и лаптоп программу TeamViewer и не связываться с VPN в принципе

Знаешь, тимвьювер таки идет через сторонний сервер (ЕМНИП), на сколько он защищен и на сколько конфидициален доступ и информация я при общих вопросах не спрашиваю и таких рекомендаций не даю. Я и сам им пользкюсь, но ни на моем ноуте ни вообще в домашней сети нет ни какой инфы, которую необходимо прятать. Но советоватьдругим открывать возможную дырку - я считаю не этичным. Мало ли у кого что лежит на компе...
И да, если проброс не настроен (не важно каким способом) - пинг не пройдет. Если изнутри у Дмитрика не настроен выход в инет через тот же PPTP - связи просто так не будет.

Так, я немного освободился, потому начну хотьь как то освещать...smile.gif

VPN - виртуальная зашифрованая сеть. Грубо говоря ты создал 2 приватных (можно больше - не суть) интерфейса со своим адресным пространством. Теперь на роутере ты должен прокинуть и разрешить (мануалы по твоему мне пока еще лень читатьsmile.gif) проход на свой десктоп. Прокидывать надо 139 и 445 порты, я бы рекомендовал оба протокола, но в принципе хватит tcp. Для доступа к рабочему столу порт 3389. Тут udp совсем не нужен. Для доступа через соединение ВПН с инетом - надо точно так же сделать нат для нового виртуального ифейса и в инет. Маршруты могут как передаваться от роутера (многие это умеют), так и прописываться локально. Что тебе удобнее - решать тебе, для меня это всегда зависело и от сервера ВПН (удобство настройки на нем) и вообще от многих факторов, в том числе наличия десятка различных подключений по ВПН к разным точкам (что иногда случаетсяsmile.gif). Потому ждем еще вопросов, но скорее по конкретике, все же кратко я общие описал... Если не ошибаюсь...smile.gif
franco
16 октября 2016, 00:44

GEK написал:

Но проще всего поставить на десктоп и лаптоп программу TeamViewer и не связываться с VPN в принципе

Та зачем. У человека статический ип внешний. Прокинуть соответствующий порт на роутере и пользоваться rdp. Это будет гораздо проще и менее ресурсозатратно, чем впн. С другой стороны, надо иметь постоянно включенный комп, плюс, если там не серверная винда стоит, то многопользовательский сеанс невозможен.
Dmitrik
16 октября 2016, 21:58
Пробовать сейчас не могу, десктоп там постоянно включен, стоит на нем Windows 10 Pro, RDP не хочу, мне нужен просто доступ к дисковым шарам.
Chief
18 октября 2016, 20:29

Dmitrik написал: Пробовать сейчас не могу, десктоп там постоянно включен, стоит на нем Windows 10 Pro, RDP не хочу, мне нужен просто доступ к дисковым шарам.

Тогда чистой воды НАТ на 445 порт, для 10-ки и его хватит. 139 нужен был до ХР, хотя использовать его можно...smile.gif
Тоже самое и для инета - батники могу написать, но они элементарны...smile.gif
alibek
22 октября 2016, 11:50

Dmitrik написал: Други, как бы это объяснить... Я софтово не понимаю что мне дальше делать с этим богатством. Куда тыкать, где смотреть.

Домашняя сеть — это сегмент Ethernet, соединенный коммутатором.
В этой сети есть шлюз (роутер), который соединяет ее с другими сетями (с интернетом). Технически роутер и коммутатор это одно устройство (ASUS RT-AC66U).
На шлюзе есть несколько сетевых интерфейсов, подключенных в разные сети. Как минимум, это интерфейс LAN и интерфейс WAN.
Интерфейсы могут быть как физическими (сетевой порт на устройстве), так и логическими (или виртуальными). VPN-сервер — это логический интерфейс. Если так проще, то можно мысленно представлять его себе как отдельный физический порт, подписанный как VPN.
На пользовательских устройствах, которые подключаются к сети, есть сетевой интерфейс (обычно один), посредством которого устройства получают доступ к сетевым ресурсам. Но на них также могут быть логические (виртуальные) интерфейсы, созданное VPN-подключение (PPTP) как раз таким и является.
Если на устройстве несколько сетевых интерфейсов, то тот интерфейс, в который будет отправлен пакет данных, определяется таблицей маршрутизации.

Таким образом, есть шлюз ASUS RT-AC66U со следующими интерфейсами:
- WAN 11.11.22.33.44/24 - интернет-доступ от провайдера
- LAN 192.168.1.1/24 - локальная домашняя сеть
- VPN 172.16.0.1/24 - сеть для VPN-подключений

На LAN-интерфейсе включен DHCP-сервер, который раздает IP-адреса из подсети 192.168.1.0/24, в качестве шлюза и DNS-сервера передается 192.168.1.1.
То есть все устройства в домашней сети, в которых включен DHCP-клиент, получают IP-адреса из подсети 192.168.1.0/24, а шлюзом по умолчанию у них будет 192.168.1.1.

На удаленном устройстве обычно уже есть сетевой интерфейс с интернет-доступом. Обычно это другой шлюз, который выдает устройству сетевые настройки по DHCP и является для него шлюзом по умолчанию.
Если на этом удаленном устройстве создать VPN-подключение, то на устройстве будет два сетевых интерфейса, один физический (интернет), другой логический (VPN).
На VPN-интерфейсе при подключении VPN-сервер также выдает подключившимся клиентам сетевые параметры, назначая IP-адрес из подсети 172.16.0.0/24. Шлюз и DNS-сервер не выдаются, это не предусмотрено в PPTP (хотя точно не помню).
Любое устройство, которое подключается к VPN-серверу, получит IP-адрес из подсети 172.16.0.0/24. Но если открыть свойства VPN-подключения, то в дополнительных настройках (Свойства - Сеть - Протокол Интернет - Свойства - Дополнительно), то там есть параметр "Использовать основной шлюз в удаленной сети". Если этот параметр выбран, то после успешного подключения Windows автоматически назначит адрес VPN-сервера шлюзом по умолчанию, и весь исходящий трафик пойдет через VPN-подключение. Если этот параметр не выбран, то шлюз по умолчанию не изменяется.


Dmitrik написал: Что это для меня как пользователя означает, какие возможности дает и как ими воспользоваться?

Это означает, что ты подключился прямо к своему домашнему роутеру.
С другой подсети, но со сквозной адресацией.
То есть любой узел в 192.168.1.0/24 тебе доступен напрямую, к нему не нужно пробрасывать порты и т.п. Правда могут быть нюансы, если будет пересечение адресов (т.е. в домашней сети 192.168.1.0/24 и в том месте, откуда ты подключился по VPN, тоже используется подсеть 192.168.1.0/24), тогда нужно либо настраивать метрики, либо менять адресацию.
Если в свойствах VPN-подключения включены компоненты "Клиент для сетей Microsoft" и "Доступ к файлам и принтерам", то сможешь подключать сетевые принтеры и т.д.
Скорее всего не будет работать сетевое окружение (т.е. для этого используются широковещательные пакеты, а ты в другом сегменте), но если шлюз ASUS RT-AC66U будет их проксировать, то работать будет.
Dmitrik
27 октября 2016, 16:01

alibek написал:
... (много и по делу) ...

Спасибо, многое встало на свои места.

Я хотел вот это:

Dmitrik написал: Во-первых, как получить доступ к десктопу внутри моей частной сети, а во-вторых, как сделать так, чтобы интернет-трафик шел через это VPN-соединение, чтобы сайты считали меня местным.

Эксперименты дали следующий расклад.

Пункт "во-вторых" полностью реализован. Проверил, находясь вне Украины, и получил ровно то, что хотел: украинский сервис, ориентирующийся строго на Украину, был мне доступен за пределами страны.

А вот с пунктом "во-первых" пока не получается, потому как имеет место непонятная мне штука, которая с роутером и с VPN-сервером, видимо, не связана. А именно: будучи подключенным к VPN-серверу и оказавшись внутри своей домашней сети, у меня по его внутресетевому IP-адресу не пингуется десктоп, доступ к сетевым шарам которого мне, собственно, и нужен. (В настройках DHCP на роутере я по MAC-адресу привязал к каждому устройству свой внутресетевой IP-адрес.) Соответственно, ни по IP, ни по сетевому имени десктоп не виден. При этом находящиеся в той же домашней сети другие устройства типа планшета прекрасно пингуются.

При этом, когда лэптоп оказывается в локальной сети не по VPN, а физически, то десктоп и его шары ему прекрасно видны.

Возможно, тут какие-то настройки Windows на десктопе закрывают доступ к нему при заходе в сеть через VPN? Или вообще куда мне смотреть? Хочется эту проблему решить.
Dmitrik
7 ноября 2016, 02:05
Други, ну хоть на мысль наведите, почему при VPN-подключении к сети десктоп может не пинговаться, когда все остальные устройства в домашней сети пингуются?
alibek
7 ноября 2016, 09:38
1. На десктопе брандмауэр блокирует ICMP-запросы из не-домашней сети.
2. На десктопе больше одного сетевого интерфейса и ICMP-ответы уходят в другой интерфейс.
Dmitrik
7 ноября 2016, 10:27

alibek написал: 1. На десктопе брандмауэр блокирует ICMP-запросы из не-домашней сети.

Где это посмотреть и исправить?


alibek написал: 2. На десктопе больше одного сетевого интерфейса и ICMP-ответы уходят в другой интерфейс.

Учитывая, что внутри сети десктоп пингуется, это маловероятный вариант.
alibek
7 ноября 2016, 11:30

Dmitrik написал: Где это посмотреть и исправить?

У меня десятки нет под рукой, точно не скажу.
Проще всего выключить брандмауэр и проверить, стал ли десктоп доступен.


Dmitrik написал: Учитывая, что внутри сети десктоп пингуется, это маловероятный вариант. 

Вполне вероятный. Когда десктоп пингуется из домашней сети, то и ответы отправляются по connected-маршруту (интерфейсу в той же подсети, что остальная домашняя сеть). А если десктоп пингуется не из домашней сети, то интерфейс определяется наиболее точным маршрутом и в некоторых случаях будет ошибочным.
Если выполнить команду route print, то можно увидеть и сетевые интерфейсы, и маршруты.
Dmitrik
8 ноября 2016, 13:25

alibek написал:
У меня десятки нет под рукой, точно не скажу.
Проще всего выключить брандмауэр и проверить, стал ли десктоп доступен.

Таки да. Отключил и он стал доступен.

Теперь надо его включить обратно и так настроить, чтобы и при включенном файрволе десктоп был доступен. Буду копаться, спасибо.
Эта версия форума - с пониженной функциональностью. Для просмотра полной версии со всеми функциями, форматированием, картинками и т. п. нажмите сюда.
Invision Power Board © 2001-2016 Invision Power Services, Inc.
модификация - Яро & Серёга
Хостинг от «Зенон»Сервера компании «ETegro»