po wielu bojach udało mi się skonfigurować połączenie VPN + VNC (TightVNC). Napotkałem na dziwny problem, mianowicie:
Gdy podłączam się do VPN a później do VNC w sieci np mojej biurowej - wszystko działa
Gdy podłączam się do VPN a później do VNC udostępniając neta z komórki - wszystko działa
Gdy podłączam się do VPN a później do VNC korzystając z domowego WIFI (neostrada) - VNC nie łączy się z podanym ip (192.168.1.2)
wyżej wymieniony adres to statyczne IP komputera, które przydzieliłem komputerowi w firmie. Gdy chcę się łączyć z domu to problem występuje jak opisany wyżej. Mega dziwne. Czy istnieją jakiekolwiek zmienne w ustawieniach routera domowego które mogą powodować konflikt?
Nie zmieniaj nic na domowej sieci. Ustaw adresację dla VPN z podsieci 10.0.0.0/8, np. 10.255.255.1/32 (adres lokalny - serwera VPN) i 10.255.255.2/32 (adres zdalny - klient VPN). Problem polega na tym, że routing Ci nie dizała.
Chodziło mi o zmianę adresacji sieci, ale oczywiście problemem jest nie ta sama w obu miejscach (tak może być, to w końcu ta sama sieć, tylko maska inna), tylko z VPN. Można zmienić adresację VPN albo sieci.
Ale faktycznie łatwiej będzie zmienić adresację VPN.
Ta sama podsieć jest problemem, ponieważ wysyłając coś na zdalną podsieć 192.168.1.x, będąc w lokalnej podsieci 192.168.1.0/24 router nie wykona routingu, ponieważ uzna, że nie ma takiej potrzeby. Host nawet nie wyśle pakietu na adres bramy. W przypadku VPN zmieni się tylko trasa domyślna, a dokładniej jej metryka oraz zostanie dopisana podsieć VPN. Dla hosta będzie to. np. 10.255.255.1/32 via 10.255.255.2/32, a po stronie routera 10.255.255.2/32 via 10.255.255.1/32. Metryka dla sieci domyślnej przez VPN będzie niższa i ta trasą wyjdą wszystkie pakiety, kierowane poza podsieć 192.168.1.0/24.
W przypadku VPN routowanego, to i tak nie rozwiązuje problemu, ponieważ nie da się ustawić trasy z sieci 192.168.1.0/24 do sieci 192.168.1.0/24 przez 10.255.255.1/32, ale na zdalnym routerze można zrobić NAT. W przypadku bridge sieci musiałyby być różne.
DHCP Routera Biuro
Początkowy 192.168.1.50
KOńcowy 192.168.1.254
Ustawienia VPN
Adres IP Klienta
192.168.1.40 ~ 192.168.1.49
[tutaj ustawiam tylko pierwsze IP i automat routera ustawia końcowe / jest ograniczona ilość]
Na sztywno w routerze biuro nadaję statyczne IP dwóm laptopom:
192.168.1.2
192.168.1.3
No i teraz dwa pytania
-Co muszę i gdzie zmienić? Bo nie chce niczego spieprzyć…
-Czy jeśli w routerze nadaję statycznie IP to czy w laptopach też powinenem na sztywno nadać to IP czy zostawić by pobierało się automatycznie (czyli przez dhcp)?
Ja dalej podtrzymuje, że najprostszym rozwiązaniem jest zmiana adresacji w domowej sieci lokalnej na jakąś mniej typową, chociażby 192.168.212.0 albo 10.0.23.0, wówczas powinno działać.
Jaki to typ VPN? PPTP, L2TP/IPsec, OpenVPN? Połączenie routowane, punktowe czy mostkowane?
Okej, ale ja bym zmienił adresację w biurze, bo sytuacja może się powtórzyć w innym miejscu, np. u kolegi lub na hotspocie, a tam adresacji już sobie nie zmieni.
W biurze ustawiłbym taką adresację: 192.168.66.0/24 lub 10.20.10.0/24. Na serwerze VPN ustawiłbym taką adresację: 10.200.200.1/32 dla klientów jakąś pulę adresów, np. 10.155.155.2-10.155.155.20. Wowczas jak podłączasz się do VPN, to w tablicy routingu powinieneś mieć coś takiego:
Router w biurze natomiast wie, że Twój komputer ma adres IP 10.155.155.2/32 i po swojej stronie przekazuje już pakiety nie z sieci 192.168.1.0/24, lecz z sieci 10.155.155.2/32 do sieci 192.168.66.0/24.
Natomiast jeśli w domu masz podsieć 192.168.1.0/24 i w biurze 192.168.1.0/24, to pakiety z Twojego komputera nie wychodzą nawet przez VPN, ponieważ Twój router nie wykonuje takiej operacji, bo nawet nie jest o to proszony. Host wie, że pakiet ma być wysłany w LANie, a nie poza LAN, więc nie kieruje pakietów na adres bramy.
Dlatego najlepszym wyjściem jest zmiana adresacji w biurze, a nie w domu, żeby w innych miejscach nie było konfliktów.
Pamiętaj tylko, że przy zmianie adresacji, jeśli masz drukarki lub inne urządzenia sieciowe podłączone do komputerów, to będziesz musiał zmienić im ustawienie portu w sterowniku. Dlatego w takich sytuacjach najlepiej mieć DNS.
Racja, najlepiej zmienić adresację w biurze, jednak widzę, że ‘pawciak’ nie jest specem w tej dziedzinie, więc lepiej zalecić zmianę tam, gdzie ona jest prostsza do wykonania, i mniejsze ryzyko awarii. W biurze może sporo rzeczy wymagać przekonfigurowania, bo ktoś poustawiał stałe adresy, np serwery, drukarki, ap, kamery ip, rejestrator ip, i kto wie co tam jeszcze jest.
O tym też właśnie wspomniałem. I właśnie dlatego najlepiej mieć serwer DNS, np. takie Mikrotiki mają wbudowany DNS. Drukarki zawsze instaluję po FQDN i mam problem z głowy, zmienia się adresacja - drukarka działa dalej.