Router ER605 za routerem LTE - VPN i brak dostępu do sieci zdalnej

Cześć,
dostęp do netu w mojej lokalizacji zapewnia niestety tylko telefonia komórkowa. Korzystam z TCL LINKHUB HH130V1 LTE Cat13 Home Station od Orange.
Podłączyłem do niego TP-Linka ER605. Cała sieć domowa jest podłączona do TP-Linka (10.10.0.0).
Na routerze Orange otworzyłem porty od 0 do 65000 i na wszelki wypadek ustanowiłem DMZ dla TP-Linka. Urządzenia w sieci domowej mają Internet i wszystko działa poprawnie.
Ponieważ muszę mieć do tego routera i sieci domowej dostęp zdalny, postanowiłem ustanowić połączenie VPN LAN to LAN między ER605 a TL-ER6020, który mam w pracy (192.168.0.0).
Na ER605 dodałem dynamiczny DNS. Połączenie zostało nawiązane, tunel jest aktywny. Pojawił się jednak problem - nie mam dostępu ani do routera ER605 ani do żadnego z urządzeń w sieci domowej.
Przeglądałem ustawienia ze 100 razy i wydaje się, że wszystko jest ok.
Czy router Orange może mieć jakieś znaczenie w tej konfiguracji? Tunel udało się zestawić, więc wydaje się, że Orange nic nie blokuje.
Czy ktoś ma jakiś pomysł?

Pozdrawiam
T.

DMZ host x.x.x.x oznacza dokładnie to samo, co forwarding wszystkich portów z internetu na host o adresie x.x.x.x.
Jednoczesne dopisanie do tego port forwardingu na ten sam adres x.x.x.x nie ma sensu, a w skrajnym przypadku może spowodować problemy. Więc albo to, albo to.

Wracając do samego VPN - jak masz tunel, to... masz tunel. Teraz dalej trzeba ustawić reguły, które prześlą dane między sieciami (reguły routingu). Zarówno ER605 jak i ER6020 muszą wiedzieć, co zrobić z ruchem dochodzącym do nich z obu stron:
ER605 - jak widzi pakiety z podsieci ER6020, ma wpuścić do sieci lokalnej. Jak widzi pakiety idące do sieci ER6020 - ma je tam przesłać.
I analogicznie na ER6020.
Do tego jeżeli jest firewall, to musi pozwolić na taki ruch.

Całość jest nietrywialna choćby z tego powodu, że ruch idący do internetu z sieci lokalnej nie ma lecieć do VPN, o ile tego nie chcemy, ale jak zobaczymy pakiety do internetu przychodzące z VPN to musimy zdecydować się - czy je wywalamy, czy obsługujemy i jak to robimy (NAT, wprost, itd...).

Jak już odpowiednie reguły routingu zrobisz, to powstaje kwestia także tego, czy końcówki podłączone do sieci lokalnej będą w stanie załapać, gdzie pchać ruch do sieci po drugiej stronie VPN.

Podsumowując: podłączenie dwóch sieci przez tunel VPN nie jest aż takie proste (sam tunel to za mało) i wymaga planowania, są do tego przewodniki, a poradniki czasem są nieźle opisane w instrukcji do tych routerów - szukaj network-to-network VPN connection i podobnych pojęć.

Dzięki za odpowiedź. Na pewno masz rację we wszystkim co piszesz. Jest tylko jedno ale...
Do ER6020 mam podłączone przez VPN jeszcze trzy inne urządzenia z innych lokalizacji (dwa ER6020 i ER7206) i w tamtych przypadkach nie musiałem robić nic szczególnego - podstawowa konfiguracja i wszystko zadziałało bez problemu. Różnicą jest tylko to, że wszystkie ww routery stoją za kablowym Internetem ze stałym IP i routerami dostawcy ustawionymi jako transparent bridge.
Stąd też nie wiem gdzie popełniłem błąd w ostatnim przypadku.... :roll_eyes:

No to możliwe, że ten router brzegowy jest mądrzejszy niż się wydaje. Możliwości są dwie:

  1. Nakładają ci się zakresy IP i to powoduje konflikt.
  2. Orange coś ci blokuje - jakiego loginu używasz? Możesz zmienić na taki z dopiskiem "bez_ochrony" (jest opis na stronach Orange) i ew. można wyłączyć IPv6 (choć to akurat nie powinno przeszkadzać).