Witajcie,

po wielu bojach udało mi się skonfigurować połączenie VPN + VNC (TightVNC). Napotkałem na dziwny problem, mianowicie:

• Gdy podłączam się do VPN a później do VNC w sieci np mojej biurowej - wszystko działa

• Gdy podłączam się do VPN a później do VNC udostępniając neta z komórki - wszystko działa

• Gdy podłączam się do VPN a później do VNC korzystając z domowego WIFI (neostrada) - VNC nie łączy się z podanym ip (192.168.1.2)

wyżej wymieniony adres to statyczne IP komputera, które przydzieliłem komputerowi w firmie. Gdy chcę się łączyć z domu to problem występuje jak opisany wyżej. Mega dziwne. Czy istnieją jakiekolwiek zmienne w ustawieniach routera domowego które mogą powodować konflikt? 

Macie pomysł jak ugryźć ten temat?

Każda z tych sieci musi być w oddzielnej puli adresów ip. Nie może być tak, że masz sieć domową z adresacją 192.168.1.0-255 i sieć vpn 192.168.1.0-255

a czy same pule generują konflikty? Chodzi oto że żadne z urządzeń nie ma tego samego ip i na przykład:

domowy komp ma 192.168.1.102

firmowy 192.168.1.2

wiec myslalem ze to nie problem…

To może być problem. Zmień adresację w domu na np. 192.168.0.0/25 i zobacz wtedy.

Oczywiście w pracy tez.

Nie zmieniaj nic na domowej sieci. Ustaw adresację dla VPN z podsieci 10.0.0.0/8,  np. 10.255.255.1/32 (adres lokalny - serwera VPN) i 10.255.255.2/32 (adres zdalny - klient VPN). Problem polega na tym, że routing Ci nie dizała.

Jak wspomniał @roobal problemem jest routing. 

Chodziło mi o zmianę adresacji sieci, ale oczywiście problemem jest nie ta sama w obu miejscach (tak może być, to w końcu ta sama sieć, tylko maska inna), tylko z VPN. Można zmienić adresację VPN albo sieci.

Ale faktycznie łatwiej będzie zmienić adresację VPN.

Ta sama podsieć jest problemem, ponieważ wysyłając coś na zdalną podsieć 192.168.1.x, będąc w lokalnej podsieci 192.168.1.0/24 router nie wykona routingu, ponieważ uzna, że nie ma takiej potrzeby. Host nawet nie wyśle pakietu na adres bramy. W przypadku VPN zmieni się tylko trasa domyślna, a dokładniej jej metryka oraz zostanie dopisana podsieć VPN. Dla hosta będzie to. np. 10.255.255.1/32 via 10.255.255.2/32, a po stronie routera 10.255.255.2/32 via 10.255.255.1/32. Metryka dla sieci domyślnej przez VPN będzie niższa i ta trasą wyjdą wszystkie pakiety, kierowane poza podsieć 192.168.1.0/24.

W przypadku VPN routowanego, to i tak nie rozwiązuje problemu, ponieważ nie da się ustawić trasy z sieci 192.168.1.0/24 do sieci 192.168.1.0/24 przez 10.255.255.1/32, ale na zdalnym routerze można zrobić NAT. W przypadku bridge sieci musiałyby być różne.

Kurcze,

Panowie to potrzebuję chyba Waszej pomocy - takiej łopatologicznej… Powiem Wam co mam dokładnie gdzie ustawione…

Połączenie by było na trasie:
Laptop DOM - Laptop Biuro

Laptop DOM ma ustawione dynamiczne DHCP

DHCP Routera domowego
Początkowy adres IP: 192.168.1.100
Końcowy adres IP: 192.168.1.200

DHCP Routera Biuro
Początkowy 192.168.1.50
KOńcowy 192.168.1.254

Ustawienia VPN
Adres IP Klienta
192.168.1.40 ~ 192.168.1.49
[tutaj ustawiam tylko pierwsze IP i automat routera ustawia końcowe / jest ograniczona ilość]

Na sztywno w routerze biuro nadaję statyczne IP dwóm laptopom:
192.168.1.2
192.168.1.3

No i teraz dwa pytania
-Co muszę i gdzie zmienić? Bo nie chce niczego spieprzyć…
-Czy jeśli w routerze nadaję statycznie IP to czy w laptopach też powinenem na sztywno nadać to IP czy zostawić by pobierało się automatycznie (czyli przez dhcp)?

DZIĘKUJĘ:)

Ja dalej podtrzymuje, że najprostszym rozwiązaniem jest zmiana adresacji w domowej sieci lokalnej na jakąś mniej typową, chociażby 192.168.212.0 albo 10.0.23.0, wówczas powinno działać.

Jaki to typ VPN? PPTP, L2TP/IPsec, OpenVPN? Połączenie routowane, punktowe czy mostkowane?

Okej, ale ja bym zmienił adresację w biurze, bo sytuacja może się powtórzyć w innym miejscu, np. u kolegi lub na hotspocie, a tam adresacji już sobie nie zmieni.

W biurze ustawiłbym taką adresację: 192.168.66.0/24 lub 10.20.10.0/24. Na serwerze VPN ustawiłbym taką adresację: 10.200.200.1/32 dla klientów jakąś pulę adresów, np. 10.155.155.2-10.155.155.20. Wowczas jak podłączasz się do VPN, to w tablicy routingu powinieneś mieć coś takiego:

Router w biurze natomiast wie, że Twój komputer ma adres IP 10.155.155.2/32 i po swojej stronie przekazuje już pakiety nie z sieci 192.168.1.0/24, lecz z sieci 10.155.155.2/32 do sieci 192.168.66.0/24.

Natomiast jeśli w domu masz podsieć 192.168.1.0/24 i w biurze 192.168.1.0/24, to pakiety z Twojego komputera nie wychodzą nawet przez VPN, ponieważ Twój router nie wykonuje takiej operacji, bo nawet nie jest o to proszony. Host wie, że pakiet ma być wysłany w LANie, a nie poza LAN, więc nie kieruje pakietów na adres bramy.

Dlatego najlepszym wyjściem jest zmiana adresacji w biurze, a nie w domu, żeby w innych miejscach nie było konfliktów.

Pamiętaj tylko, że przy zmianie adresacji, jeśli masz drukarki lub inne urządzenia sieciowe podłączone do komputerów, to będziesz musiał zmienić im ustawienie portu w sterowniku. Dlatego w takich sytuacjach najlepiej mieć DNS.

Racja, najlepiej zmienić adresację w biurze, jednak widzę, że ‘pawciak’ nie jest specem w tej dziedzinie, więc lepiej zalecić zmianę tam, gdzie ona jest prostsza do wykonania, i mniejsze ryzyko awarii. W biurze może sporo rzeczy wymagać przekonfigurowania, bo ktoś poustawiał stałe adresy,  np serwery, drukarki, ap, kamery ip, rejestrator ip, i kto wie co tam jeszcze jest.

O tym też właśnie wspomniałem. I właśnie dlatego najlepiej mieć serwer DNS, np. takie Mikrotiki mają wbudowany DNS. Drukarki zawsze instaluję po FQDN i mam problem z głowy, zmienia się adresacja - drukarka działa dalej.

Czasem warto zrobić raz a dobrze - nagle firma rozrośnie się do 100 osób i trzeba będzie zmienić konfigurację w stu domach