Cześć, nie mam zbyt dużego doświadczenia w konfigurowaniu VPN, więc poproszę o pomoc.
Mam dwa routery ER6020, każdy z nich za routerem Orange. Na Orange otwarte porty 500 i 4500.
TPLinki skonfigurowane tak jak poleca producent w instrukcji.
Tunel się tworzy. Routery nawet się pingują po adresie LANowym w obie strony ale nie widzę żadnych urządzeń za routerami.
Co dziwne jak zrobię ping z podsieci na drugą podsieć to czasem przestaje potem pingować same routery.
Ping WAN jest zablokowany na obu. Nie mam ustawionych routingów statycznych.

Router Responder ma włączony też L2TP. To w układzie Client-Lan działa. Z klienta widzę wszystko co chcę.

Co robię źle???
Będę wdzięczny za wakazówki

Nie mam doświadczenia z tym urządzeniem, ale i tak trudno pomóc bez szczegółów:

1. Dokładny opis co chcesz osiągnąć (i jakie podsieci po obu stronach)
2. Jakie IP i podsieci oraz tablice routingu masz na przykładowych końcówkach.
3. Jak masz ustawiony router (VPNy) dokładnie - ew. jaką instrukcję wykonałeś.

Cześć,
muszę skomunikować dwie lokalizacje posiadające swoje sieci. Każda z nich ma swoje stałe zewnętrzne IP (zakładamy że jedna x.x.x.x druga y.y.y.y).
Układ sieci jest taki, że pierwszy jest router Orange, który ma otwarte porty 500 i 4500, potem jest ER6020, dalej cała sieć wewnętrzna.
Lokalizacja A:
Router ER6020 WAN 192.168.10.11
LAN 192.168.100.1
DHCP 192.168.100.x
Lokalizacja B:
Router ER6020 WAN 192.168.20.11
LAN 192.168.200.1
DHCP 192.168.200.x

Ustawienia routerów są podobne (teraz testowo, bo pousuwałem wszystko).

1.PNG652×876 33.1 KB

2.PNG683×882 34.4 KB

Pozostałe informacje uzupełnię jak zestawię ponownie urządzenia.

Od razu sprawdź, czy w tablicach routingu komputerów
192.168.200.x
pojawia się wpis dotyczący routingu adresów IP dla
192.168.100.x
(i odwrotnie)
wraz z odpowiednią informacją, gdzie ten ruch ma trafiać.

Bo jak się nie pojawia to masz źródło problemów.

W końcu wracam do tematu. Udało się wszystko ogarnąć - problemem był jeden z routerów Orange. Nie był w trybie mostu i wszystko komplikował.
Pojawiają się jednak kolejne pytania

1. chciałbym mieć zestawiony tunel lan to lan i jednocześnie mieć możliwość zestawienia drugiego client to lan. Próby utworzenia drugiej polityki powodują błąd o treści "The local subnet cannot overlap with those of existing IPSec policies."
   Wynika to zapewne z ustawienia tej samej local subnet w ubu politykach, ale ja chciałbym aby zarówno lan-lan jak i client-lan mieli dostep do tych samych zasobow. Da się tak?
2. połączyłem dwie podsieci i nie mam pojęcia dlaczego z np. podsieci 192.168.200.x mogę zrobić ping np. NASa albo drukarek a nie mogę zrobić pinga komputerów...

1. Postaw się w miejscu stosu TCP/IP tam, gdzie ustawiasz "polityki" na nakładające się grupy adresów IP. Skąd stos TCP/IP ma wiedzieć, gdzie kierować ten ruch?
   Tam muszą być rozdzielne (pod)sieci IP. Po prostu wydziel grupę adresów do łączenia się dla klientów. Albo wyjaśnij dokładnie co chcesz osiągnąć, że pula musi być wspólna.
2. A te komputery odpowiadają na ping we własnej sieci? A ma właściwe maski i ich odpowiedź się gdzieś nie zacina na złej masce?
   Szczegóły takie bada się tcpdump'em i analogicznymi narzędziami, które ten ruch przejmują w locie. I w nagłówkach TCP/IP widzisz, dlaczego i gdzie ten ruch ginie.

Dzięki za odpowiedź.

1. Użytkownicy podsieci 192.168.200.x w lokalizacji B korzystają z zasobów sieci 192.168.100.x w lokalizacji A. Dodatkowo zależy mi na dostępie administracyjnym do sieci 192.168.100.x (w całości), z lokalizacji C przez tunel Client-Lan. Dlatego wydaje się, że jakaś część wspólna jest nieodzowna.
2. We własnych podsieciach pingują się bez ograniczeń.
   Muszę sprawdzić to narzędzie, dotychczas nie używałem

Okazuje się, że problemem jest firmware. Mam wersję beta do testu. Zobaczymy efekt.

Działa!