Cześć,
dostęp do netu w mojej lokalizacji zapewnia niestety tylko telefonia komórkowa. Korzystam z TCL LINKHUB HH130V1 LTE Cat13 Home Station od Orange.
Podłączyłem do niego TP-Linka ER605. Cała sieć domowa jest podłączona do TP-Linka (10.10.0.0).
Na routerze Orange otworzyłem porty od 0 do 65000 i na wszelki wypadek ustanowiłem DMZ dla TP-Linka. Urządzenia w sieci domowej mają Internet i wszystko działa poprawnie.
Ponieważ muszę mieć do tego routera i sieci domowej dostęp zdalny, postanowiłem ustanowić połączenie VPN LAN to LAN między ER605 a TL-ER6020, który mam w pracy (192.168.0.0).
Na ER605 dodałem dynamiczny DNS. Połączenie zostało nawiązane, tunel jest aktywny. Pojawił się jednak problem - nie mam dostępu ani do routera ER605 ani do żadnego z urządzeń w sieci domowej.
Przeglądałem ustawienia ze 100 razy i wydaje się, że wszystko jest ok.
Czy router Orange może mieć jakieś znaczenie w tej konfiguracji? Tunel udało się zestawić, więc wydaje się, że Orange nic nie blokuje.
Czy ktoś ma jakiś pomysł?
DMZ host x.x.x.x oznacza dokładnie to samo, co forwarding wszystkich portów z internetu na host o adresie x.x.x.x.
Jednoczesne dopisanie do tego port forwardingu na ten sam adres x.x.x.x nie ma sensu, a w skrajnym przypadku może spowodować problemy. Więc albo to, albo to.
Wracając do samego VPN - jak masz tunel, to... masz tunel. Teraz dalej trzeba ustawić reguły, które prześlą dane między sieciami (reguły routingu). Zarówno ER605 jak i ER6020 muszą wiedzieć, co zrobić z ruchem dochodzącym do nich z obu stron:
ER605 - jak widzi pakiety z podsieci ER6020, ma wpuścić do sieci lokalnej. Jak widzi pakiety idące do sieci ER6020 - ma je tam przesłać.
I analogicznie na ER6020.
Do tego jeżeli jest firewall, to musi pozwolić na taki ruch.
Całość jest nietrywialna choćby z tego powodu, że ruch idący do internetu z sieci lokalnej nie ma lecieć do VPN, o ile tego nie chcemy, ale jak zobaczymy pakiety do internetu przychodzące z VPN to musimy zdecydować się - czy je wywalamy, czy obsługujemy i jak to robimy (NAT, wprost, itd...).
Jak już odpowiednie reguły routingu zrobisz, to powstaje kwestia także tego, czy końcówki podłączone do sieci lokalnej będą w stanie załapać, gdzie pchać ruch do sieci po drugiej stronie VPN.
Podsumowując: podłączenie dwóch sieci przez tunel VPN nie jest aż takie proste (sam tunel to za mało) i wymaga planowania, są do tego przewodniki, a poradniki czasem są nieźle opisane w instrukcji do tych routerów - szukaj network-to-network VPN connection i podobnych pojęć.
Dzięki za odpowiedź. Na pewno masz rację we wszystkim co piszesz. Jest tylko jedno ale...
Do ER6020 mam podłączone przez VPN jeszcze trzy inne urządzenia z innych lokalizacji (dwa ER6020 i ER7206) i w tamtych przypadkach nie musiałem robić nic szczególnego - podstawowa konfiguracja i wszystko zadziałało bez problemu. Różnicą jest tylko to, że wszystkie ww routery stoją za kablowym Internetem ze stałym IP i routerami dostawcy ustawionymi jako transparent bridge.
Stąd też nie wiem gdzie popełniłem błąd w ostatnim przypadku....
No to możliwe, że ten router brzegowy jest mądrzejszy niż się wydaje. Możliwości są dwie:
Nakładają ci się zakresy IP i to powoduje konflikt.
Orange coś ci blokuje - jakiego loginu używasz? Możesz zmienić na taki z dopiskiem "bez_ochrony" (jest opis na stronach Orange) i ew. można wyłączyć IPv6 (choć to akurat nie powinno przeszkadzać).