Настройка VPN-клиент L2TP на HUAWEI B315

Как то так в pda написано

VPN заработал после аккуратного прописывания маршрутов с 2х сторон. Ночью видимо ошибся когда тестировал.
Никакого NAT и Virtual Server, обычный роутинг - на стороне сервера нужен маршрут до сети клиента через выданный адрес (на сервере можно выдать статику по имени), на стороне клиента нужен маршрут на LAN сервера через [приватный] адрес L2TP сервера (он фиксированный).

Некоторые подробности:
Для наглядности буду оперировать понятиями клиент (там, где B315) и сервер (там, где установлен L2TP сервер (LNS)).
В качестве сервера выступает маршрутизатор pfSense, у которого на WAN есть public ip. Этот ip указываем в настройках VPN-клиента.
В настройках собственно L2TP сервера указан его адрес (192.168.100.254) и диапазон адресов для выдачи клиентам (192.168.100.0/28).
В локальной сети сервера используется адресация 192.168.123.0/24
В локальной сети клиента используется адресация 192.168.8.0/24

При установлении VPN-соединения клиент получает адрес 192.168.100.0 от сервера с адресом 192.168.100.254
Как только соединение установлено, на адрес 192.168.100.0 уже можно зайти с роутера через telnet и посмотреть таблицу маршрутизации
#
root@android:/ # route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default 10.64.64.1 0.0.0.0 UG 0 0 0 wan0
10.64.64.1 * 255.255.255.255 UH 0 0 0 wan0
192.168.8.0 * 255.255.255.0 U 0 0 0 br0
192.168.100.254 * 255.255.255.255 UH 0 0 0 ppp0

Добавляем маршрут до LAN сервера и проверяем таблицу
#
root@android:/ # route add -net 192.168.123.0/24 gw 192.168.100.254
root@android:/ # route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default 10.64.64.1 0.0.0.0 UG 0 0 0 wan0
10.64.64.1 * 255.255.255.255 UH 0 0 0 wan0
192.168.123.0 192.168.100.254 255.255.255.0 UG 0 0 0 ppp0
192.168.8.0 * 255.255.255.0 U 0 0 0 br0
192.168.100.254 * 255.255.255.255 UH 0 0 0 ppp0

Делаем на сервере зеркальную процедуру - добавляем маршрут до LAN клиента
#
> route add -net 192.168.8.0/24 192.168.100.0
add net 192.168.8.0: gateway 192.168.100.0

Наконец, проверяем можно ли из LAN сервера достучаться до хоста в LAN клиента
#
C:\>tracert 192.168.8.100

Tracing route to 192.168.8.100 over a maximum of 30 hops

1 1 ms <1 ms <1 ms pf.lan [192.168.123.1]
2 47 ms 37 ms 39 ms 192.168.100.0
3 34 ms 39 ms 39 ms 192.168.8.100

Вот ещё один человек с планом писал:

вопрос уже обсуждался. средствами существующих прошивок удаленного доступа добиться не удастся (даже в том случае, если ОпСоС выдаст белый статический IP, как это у меня на многих аппаратах B315 и B593).
многие решили этот вопрос, оставляя за Хуавеем включенную машину с Тимвьюером..
для себя я нашел следующее решение этого вопроса (данное решение предполагает наличие знаний/основ IPv4, статических маршрутов, расчетов маски подсети, типов и принципов работы VPN-туннелей).
И так, дано:
- есть, образно, Huawei B315s-22 (или любой другой модем) с симкой любого оператора.
- IP-адрес на этом устройстве серый (т.е. DynDNS уже никак не спасет), при этом адрес еще и динамический.
- на другом конце (например, у себя дома), откуда нужно иметь доступ, у нас имеется белый IP (пусть даже динамический).
Решение:
- со стороны, откуда нужен доступ, поднимаем любой VPN-сервер (OpenVPN, PPTP, L2TP - по сути, не имеет значения). Лично я использую L2TP.
- за модемом включаем любой роутер, который умеет подключаться по выбранному нами типу VPN.
- на этот роутер получаем IP-адрес от нашего модема из подсети 192.168.8.0/24 (или другой, если изменить подсеть в настройках DHCP модема), а вместе с ним и доступ в Интернет.
- поднимаем на роутере VPN-клиент по выбранному протоколу на наш белый IP-адрес (или DynDNS имя, если он не статический). при этом, маршрут по умолчанию добавлять не обязательно - основной трафик может продолжать идти через IP ОпСоСа (но, в этом случае, потребуется добавить один маршрут на удаленную подсеть, откуда будет осуществляться удаленный доступ).
- со стороны VPN-сервера добавляем маршрут на подсеть 192.168.8.0/24 через наш туннель.
- ВСЕ! Пробуем со стороны "удаленного управления" ввести в браузере пресловутый 192.168.8.1
и, если туннель поднят и все маршуты верные, имеем профит - доступ к обоим роутерам по их локальным адресам.
при этом, доступ можно будет получить не только с этого самого места.. находясь где-то, где просто есть Интернет подключаемся к тому же VPN-серверу и, предварительно прописав необходимые маршруты, так же сможем попасть на оба роутера..
p.s. безусловно, подсеть модема, второго роутера и удаленная должны отличаться..
p.p.s. на данный момент по такой схеме у меня работает около 20 точек с B315 и B593, к которым периодически нужен доступ. добавление второго роутера меня лично никак не смущает, т.к. при большой клиентской нагрузке на Хуавей начинаются определенные проблемы с получением адресов у вновь подключающихся клиентов, особенно по Вай-Фай. добавляя же второй роутер, на B315/B593 можно смело вырубать беспроводную сеть и тогда каждый занят своим делом: Хуавей работает как мощный 4G-модем (уже говорилось о том, что отключение встроенного Wi-Fi добавляет уверенности приема сети), а роутер занят своим делом - он шлюз и беспроводной маршрутизатор.

Вот ещё один человек с планом писал:

вопрос уже обсуждался. средствами существующих прошивок удаленного доступа добиться не удастся (даже в том случае, если ОпСоС выдаст белый статический IP, как это у меня на многих аппаратах B315 и B593).
многие решили этот вопрос, оставляя за Хуавеем включенную машину с Тимвьюером..
для себя я нашел следующее решение этого вопроса (данное решение предполагает наличие знаний/основ IPv4, статических маршрутов, расчетов маски подсети, типов и принципов работы VPN-туннелей).
И так, дано:
- есть, образно, Huawei B315s-22 (или любой другой модем) с симкой любого оператора.
- IP-адрес на этом устройстве серый (т.е. DynDNS уже никак не спасет), при этом адрес еще и динамический.
- на другом конце (например, у себя дома), откуда нужно иметь доступ, у нас имеется белый IP (пусть даже динамический).
Решение:
- со стороны, откуда нужен доступ, поднимаем любой VPN-сервер (OpenVPN, PPTP, L2TP - по сути, не имеет значения). Лично я использую L2TP.
- за модемом включаем любой роутер, который умеет подключаться по выбранному нами типу VPN.
- на этот роутер получаем IP-адрес от нашего модема из подсети 192.168.8.0/24 (или другой, если изменить подсеть в настройках DHCP модема), а вместе с ним и доступ в Интернет.
- поднимаем на роутере VPN-клиент по выбранному протоколу на наш белый IP-адрес (или DynDNS имя, если он не статический). при этом, маршрут по умолчанию добавлять не обязательно - основной трафик может продолжать идти через IP ОпСоСа (но, в этом случае, потребуется добавить один маршрут на удаленную подсеть, откуда будет осуществляться удаленный доступ).
- со стороны VPN-сервера добавляем маршрут на подсеть 192.168.8.0/24 через наш туннель.
- ВСЕ! Пробуем со стороны "удаленного управления" ввести в браузере пресловутый 192.168.8.1
и, если туннель поднят и все маршуты верные, имеем профит - доступ к обоим роутерам по их локальным адресам.
при этом, доступ можно будет получить не только с этого самого места.. находясь где-то, где просто есть Интернет подключаемся к тому же VPN-серверу и, предварительно прописав необходимые маршруты, так же сможем попасть на оба роутера..
p.s. безусловно, подсеть модема, второго роутера и удаленная должны отличаться..
p.p.s. на данный момент по такой схеме у меня работает около 20 точек с B315 и B593, к которым периодически нужен доступ. добавление второго роутера меня лично никак не смущает, т.к. при большой клиентской нагрузке на Хуавей начинаются определенные проблемы с получением адресов у вновь подключающихся клиентов, особенно по Вай-Фай. добавляя же второй роутер, на B315/B593 можно смело вырубать беспроводную сеть и тогда каждый занят своим делом: Хуавей работает как мощный 4G-модем (уже говорилось о том, что отключение встроенного Wi-Fi добавляет уверенности приема сети), а роутер занят своим делом - он шлюз и беспроводной маршрутизатор.

lexperm пишет: Вот ещё один человек с PDA писал:

вопрос уже обсуждался. средствами существующих прошивок удаленного доступа добиться не удастся (даже в том случае, если ОпСоС выдаст белый статический IP, как это у меня на многих аппаратах B315 и B593).
многие решили этот вопрос, оставляя за Хуавеем включенную машину с Тимвьюером..
для себя я нашел следующее решение этого вопроса (данное решение предполагает наличие знаний/основ IPv4, статических маршрутов, расчетов маски подсети, типов и принципов работы VPN-туннелей).
И так, дано:
- есть, образно, Huawei B315s-22 (или любой другой модем) с симкой любого оператора.
- IP-адрес на этом устройстве серый (т.е. DynDNS уже никак не спасет), при этом адрес еще и динамический.
- на другом конце (например, у себя дома), откуда нужно иметь доступ, у нас имеется белый IP (пусть даже динамический).
Решение:
- со стороны, откуда нужен доступ, поднимаем любой VPN-сервер (OpenVPN, PPTP, L2TP - по сути, не имеет значения). Лично я использую L2TP.
- за модемом включаем любой роутер, который умеет подключаться по выбранному нами типу VPN.
- на этот роутер получаем IP-адрес от нашего модема из подсети 192.168.8.0/24 (или другой, если изменить подсеть в настройках DHCP модема), а вместе с ним и доступ в Интернет.
- поднимаем на роутере VPN-клиент по выбранному протоколу на наш белый IP-адрес (или DynDNS имя, если он не статический). при этом, маршрут по умолчанию добавлять не обязательно - основной трафик может продолжать идти через IP ОпСоСа (но, в этом случае, потребуется добавить один маршрут на удаленную подсеть, откуда будет осуществляться удаленный доступ).
- со стороны VPN-сервера добавляем маршрут на подсеть 192.168.8.0/24 через наш туннель.
- ВСЕ! Пробуем со стороны "удаленного управления" ввести в браузере пресловутый 192.168.8.1
и, если туннель поднят и все маршуты верные, имеем профит - доступ к обоим роутерам по их локальным адресам.
при этом, доступ можно будет получить не только с этого самого места.. находясь где-то, где просто есть Интернет подключаемся к тому же VPN-серверу и, предварительно прописав необходимые маршруты, так же сможем попасть на оба роутера..
p.s. безусловно, подсеть модема, второго роутера и удаленная должны отличаться..
p.p.s. на данный момент по такой схеме у меня работает около 20 точек с B315 и B593, к которым периодически нужен доступ. добавление второго роутера меня лично никак не смущает, т.к. при большой клиентской нагрузке на Хуавей начинаются определенные проблемы с получением адресов у вновь подключающихся клиентов, особенно по Вай-Фай. добавляя же второй роутер, на B315/B593 можно смело вырубать беспроводную сеть и тогда каждый занят своим делом: Хуавей работает как мощный 4G-модем (уже говорилось о том, что отключение встроенного Wi-Fi добавляет уверенности приема сети), а роутер занят своим делом - он шлюз и беспроводной маршрутизатор.

Да, конечно, я уже Вас понял, что надо править маршруты на роутере. Я так этот текст из pda вставил, мож кому-нибудь понадобиться.